Leverandører krypterer for å fikse feil i nettverkssikkerhet

Feilen ligger i SSL-protokollen, best kjent som teknologien som brukes til sikker surfing på nettsteder som begynner med HTTPS, og lar oss angripere avlyser sikker SSL (Secure Sockets Layer) -kommunikasjon mellom datamaskiner ved hjelp av det som kalles et man-i-midten-angrep.

Selv om feilen kun kan utnyttes under visse omstendigheter, kan den brukes til å hacke inn i servere i delt hosting-miljøer, postservere, databaser og mange andre sikre applikasjoner, ifølge Chris Paget, en sikkerhetsforsker som har studert problemet.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

"Det er en feil på protokollnivå. " sa Paget, sjefsteknologens offiser med en sikkerhetskonsult som heter H4rdw4re. "Det er mange ting som må løses på dette: nettlesere, webservere, nettbelastningsbalansere, nettakseleratorer, postservere, SQL-servere, ODBC-drivere, peer-to-peer-protokoller."

Selv om en angriper først trenger å hacke inn i offerets nettverk for å starte det man-i-midten-angrepet, vil resultatene da bli ødeleggende - spesielt hvis det brukes i et målrettet angrep for å få tilgang til en database eller en postserver, Sier Paget.

Siden det er så mye brukt, er SSL stadig under mikroskop av sikkerhetsforskere. Senere i fjor fant forskerne en måte å skape falske SSL-sertifikater som kunne stole på av enhver nettleser, og i august avslørte forskere en håndfull nye angrep som kunne kompromittere SSL-trafikken. Men i motsetning til de angrepene, som hadde å gjøre med infrastrukturen som brukes til å administrere SSLs digitale sertifikater, ligger denne nyeste feilen i selve SSL-protokollen og vil bli mye vanskeligere å fikse.

Videre kompliserende saker er det faktum at feilen ble utilsiktet utgitt på en uklar epostliste onsdag, og tvinger leverandører til en gal skrille for å patchere sine produkter.

Problemet ble oppdaget i Auguust av forskere på PhoneFactor, et mobilsikkerhetsselskap. De hadde jobbet de siste to månedene med et konsortium av teknologileverandører kalt ICASI (Industriens konsortium for fremming av sikkerheten på Internett) for å koordinere en bransjemessig løsning for problemet, kalt "Project Mogul." Men deres forsiktige planer ble kastet i disarray onsdag da SAP-ingeniør Martin Rex snublet over feilen alene. Tilsynelatende uvitende om alvoret av problemet, skrev han sine observasjoner på spørsmålet til en IETF (Internet Engineering Task Force) diskusjonsliste. Det ble deretter publisert av sikkerhetsforsker HD Moore.

Ved onsdag ettermiddag snakket nok folk om problemet som PhoneFactor bestemte seg for å bli offentlig med sine funn. "På det tidspunktet følte vi at gutta visste, og vi følte at vi hadde et ansvar for de gode gutta å vite også," sa Sara Fender, telefonfaktors markedsdirektør.

Fender kunne ikke si hvem som var klar til å lappe problemet, men hun bemerket at en rekke åpne kildeprodukter er "engstelige" for å skyve ut en oppdatering. «Jeg tror vi ser noen patching i nær fremtid,» sa hun.

ICASI kunne ikke nås for kommentar onsdag kveld.

Selv om sikkerhetseksperter sier at feilen sannsynligvis har eksistert i mange år, er det ikke trodde å ha blitt utnyttet i noen angrep. «

» «Mens vi anser det for å være et materielt sårbarhet, er det ikke verdens ende,» sa Fender.