W nadchodz�cy pi�tek, na konferencji zajmuj�cej si� bezpiecze�stwem Ekoparty w Buenos Aires, dw�ch badaczy Julianio Rizzo oraz Thai Doung zamierzaj� przedstawi� narz�dzie BEAST (Browser Exploit Against SSL/TLS).

Nie by�oby to mo�e tak zachwycaj�ce, gdyby nie to, �e program ten ma za zadaniem deszyfrowa� pliki cookie SSL i u�ywaj�c adaptacyjnego ataku z wybranym tekstem jawnym, deszyfrowa� te pakiety.

Atak polega na tym, �e atakuj�cy zmusza ofiar� do wys�ania jakiego� podsuni�tego tekstu poprzez szyfrowany kana�. W tym momencie zdobywa zar�wno wiadomo�� oryginaln� i jej posta� zabezpieczon�. Teraz u�ywaj�c entropii �amie zabezpieczenie. Wed�ug Rizzo, ich program jest w stanie z�ama� szyfrowanie cookie systemu PayPal w mniej ni� dziesi�� minut.

Ich sekret ma le�e� w manipulowaniu pakietami stron HTTPS. Jedynie co trzeba zrobi� to wstrzykn�� odpowiedni kod JavaScript do przegl�darki ofiary. Reszta jest wykonywana przez sniffer sieci. Dok�adnie jak to wszystko dzia�a, tego jeszcze nie zdradzaj�. Bior�c pod uwag�, jak popularny jest SSL, to zagro�enie jest ogromne.

�r�d�o: h-online.com