W nadchodzący piątek, na konferencji zajmującej się bezpieczeństwem Ekoparty w Buenos Aires, dwóch badaczy Julianio Rizzo oraz Thai Doung zamierzają przedstawić narzędzie BEAST (Browser Exploit Against SSL/TLS).

Nie byłoby to może tak zachwycające, gdyby nie to, że program ten ma za zadaniem deszyfrować pliki cookie SSL i używając adaptacyjnego ataku z wybranym tekstem jawnym, deszyfrować te pakiety.

Atak polega na tym, że atakujący zmusza ofiarę do wysłania jakiegoś podsuniętego tekstu poprzez szyfrowany kanał. W tym momencie zdobywa zarówno wiadomość oryginalną i jej postać zabezpieczoną. Teraz używając entropii łamie zabezpieczenie. Według Rizzo, ich program jest w stanie złamać szyfrowanie cookie systemu PayPal w mniej niż dziesięć minut.

Ich sekret ma leżeć w manipulowaniu pakietami stron HTTPS. Jedynie co trzeba zrobić to wstrzyknąć odpowiedni kod JavaScript do przeglądarki ofiary. Reszta jest wykonywana przez sniffer sieci. Dokładnie jak to wszystko działa, tego jeszcze nie zdradzają. Biorąc pod uwagę, jak popularny jest SSL, to zagrożenie jest ogromne.

źródło: h-online.com