Исследователи обнаружили, что шифрование, которое должно защищать нас, когда мы связываемся с некоторыми сайтами по протоколу HTTPS, может быть взломано.

По данным онлайн-журнала The Register, в качестве доказательства того, что протокол SSL является небезопасным, исследователи Тай Дуон и Хулиано Риззо на конференции Ekoparty, проходящей на этой неделе в Буэнос-Айресе, планируют продемонстрировать работу своего кода.

Исследователи заявляют, что их код под названием BEAST (Browser Exploit Against SSL/TLS) докажет миру, что любой криптографический протокол, разработанный до TLS 1.1, является уязвимым и может быть довольно легко расшифрован. Исследователи попытаются декодировать аутентификационное куки, использующееся для входа в учётную запись PayPal, в течение 10 минут, что намного быстрее, чем кто-либо ожидал. В случае успеха вера интернет-пользователей в один из основополагающих компонентов безопасности в интернете полностью испарится.

Алгоритм для взлома был реализован в программе, написанной на языке JavaScript, которая перехватывает зашифрованные куки, передаваемые веб-сайтами в процессе аутентификации.

"BEAST отличается от многих опубликованных атак против HTTPS, - сообщил Дуон. - В то время как другие атаки фокусируются на свойстве аутентичности SSL, BEAST атакует конфиденциальность протокола. Насколько нам известно, BEAST первым реализует атаку, которая действительно расшифровывает запросы HTTPS".

Протоколы TLS 1.1 и 1.2 не обладают аналогичной уязвимостью, однако эти версии протоколов ещё не поддерживаются ни сайтами, ни некоторыми популярными браузерами, а значит, наиболее популярные сайты на данный момент являются уязвимыми. Практически все веб-серверы на сегодняшний момент используют SSL 3.0 или TLS 1.0. Из всех браузеров поддержку TLS 1.2 имеют только Opera, начиная с десятой версии, и Internet Explorer 8 в Windows 7 и выше. Ни Mozilla Firefox, ни Google Chrome TLS 1.1/1.2 на данный момент не поддерживают.

То, что раньше считалось всего лишь теоретической уязвимостью, сейчас воплотилось в реальность и поставило нас перед фактом. Почему же разработчики браузеров и владельцы веб-сайтов пока не могут ничего с этим поделать, особенно учитывая тот факт, что TLS 1.1 был разработан в 2006 году?

Для того, чтобы эффективно обновить все протоколы безопасности, в процессе должны участвовать все - от разработчиков библиотек для веб-серверов и администраторов веб-сайтов до разработчиков браузеров. В противном случае возможно возникновение ситуаций, когда приложения, полагающиеся на старую систему, из-за несовместимости могут оказаться неработоспособными.