Швейцарские специалисты по компьютерной безопасности обнаружили новый способ взлома криптографического протокола SSL, который широко используется для защиты данных в Интернет.
Помимо прочего, с его помощью часто шифруются конфиденциальные данные при покупках в электронных магазинах, а также во время передачи и приема электронной почты.
Именно реализация SSL при общении компьютера с почтовым сервером и содержит уязвимость. Если почтовый клиент часто (например, каждые пять минут), обращается к серверу за новыми письмами, он отправляет туда одни и те же данные: зашифрованное имя пользователя, пароль и т.д. Хакеру достаточно один раз перехватить эти данные в зашифрованном виде, а затем начать направить предполагаемые варианты пароля на сервер. Скорее всего, угадать пароль с первого раза не выйдет, и сервер выдаст сообщение об ошибке, также зашифрованное с помощью SSL. Сравнивая сообщения об ошибках, можно достаточно быстро восстановить пароль.
Способ взлома SSL был открыт профессором Швейцарского федерального технологического института в Лозанне (Swiss Federal Institute of Technology in Lausanne) Сержем Воденаем (Serge Vaudenay). Практическую реализацию взлома продемонстрировал в своей курсовой работе студент Марти Вуагно (Martin Vuagnoux). Он использовал программу Outlook Express, которая обращалась к почтовому серверу по протоколу IMAP каждые пять минут.
Кроме взлома почтовых ящиков, описанный метод ни на что не годится. Перехватывать обмен данными между почтовым сервером и клиентом достаточно непросто, так что вряд ли эта уязвимость в SSL будет эксплуатироваться широко. Тем не менее, в некоторых случаях полезно помнить о существовании потенциальной опасности взлома, сообщает "Компьюлента".
