Experții ESC au spus cum să își protejeze computerul de noua vulnerabilitate a protocoalelor SSL, TLS și SPDY, care oferă protecție pentru conexiuni și date transmise pe Internet.
O altă vulnerabilitate a protocoalelor SSL, TLS și SPDY a fost recent demonstrată de cercetătorii Giuliano Rizzo și Tai Duong la conferința Ekoparty din Buenos Aires. Atacul folosind un nou decalaj a fost numit CRIME (Raportul de compresie Info-leak Made Easy).
În timpul atacului CRIME, se utilizează algoritmi de comprimare a datelor. Să luăm în considerare, cum se întâmplă, pe un exemplu de protocol SSL:
Pentru a efectua un atac CRIME asupra calculatorului victimei, este necesar să descărcați codul rău intenționat. Acest lucru se poate face, de exemplu, prin redirecționarea utilizatorului către o pagină web infectată.
Un exemplu de cerere POST comprimată, a cărei dimensiune poate fi modificată prin adăugarea de date cookie
Anterior, aceiași cercetători au arătat posibilitatea de hacking reușit a protocoalelor SSL și TLS folosind o vulnerabilitate bloc bloc (Browser Exploit Against SSL / TLS atac, BEAST).
Un interes semnificativ pentru securitatea conexiunilor SSL este cauzat, în special, de dezvoltarea tehnologiilor cloud. Un număr din ce în ce mai mare de companii și utilizatori casnici folosesc serviciile cloud pentru stocarea și procesarea informațiilor importante, iar conexiunea la astfel de servicii se face în mare parte prin intermediul unui browser web care utilizează tehnologia SSL. Vulnerabilitatea în sistemul de protecție poate oferi atacatorilor oportunități aproape nelimitate de a fura informații importante.
Mai jos este afișată o listă cu versiunile curente ale browserelor care au dezactivat compresia SSL: