SSL Kabaligtaran Puwede Ginamit upang Hack Nerbiyos

Ang isang depekto sa protocol na ginamit upang ma-secure ang mga komunikasyon sa Internet ay maaaring ginamit upang sumuntok sa Twitter account, ayon sa isang IBM security researcher.

Huling linggo Anil Kurmus nagpakita kung paano ang isang kapintasan sa SSL (Secure Sockets Layer) protocol ay maaaring maging ginagamit upang lubos na linlangin ang mga biktima sa pagpapadala ng mga mensahe sa Twitter na naglalaman ng kanilang impormasyon sa password. Para sa lamat na pinagsamantalahan, ang isang hacker ay dapat munang makahanap ng isang paraan upang makapunta sa network ng biktima, paglulunsad ng kung ano ang kilala bilang isang tao-sa-gitna na pag-atake, kaya mahirap makakaapekto sa maraming bilang ng mga gumagamit ng Twitter ang pamamaraan na ito. Ang isyu ay sa madaling panahon ay pinatugma ng Twitter, ngunit may mga eksperto sa seguridad na nag-iisip kung gaano karaming mga Web site ang maaaring magdusa mula sa isang katulad na problema.

Ang isang kasunduan ng mga kompanya ng Internet ay nag-scramble upang ayusin ang isyu ng SSL mula noong Nobyembre 5, nang di-sinasadyang ginawa pampubliko sa isang listahan ng talakayan. Ngunit nagkaroon ng ilang debate tungkol sa kabigatan ng kapintasan. Sa lalong madaling panahon matapos na ang bug ay ginawa publiko, sinabi ng mananaliksik ng IBM na si Tom Cross na ang karamihan sa mga pangunahing aplikasyon ay hindi maaapektuhan ng isyu.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ngunit binago ni Kris ang kanyang isipan, sinulat: "Sa kasamaang palad, ang sitwasyon ay mas masahol pa kaysa sa naisip ko."

Ang mga aplikasyon sa webmail, sa partikular, ay maaaring nasa panganib din mula sa atake na ito. At ang mga eksperto sa seguridad ay nag-aalala rin na ang iba pang mga application - mga database, halimbawa - ay maaaring nasa panganib.

Twitter.com ay madaling kapitan sa bug dahil ginawa nito ang tinatawag na renegotiation ng kliyente sa ilalim ng SSL. Ang pag-renegotiation ng kliyente ay nagbibigay sa Web site ng isang paraan upang hilingin ang user ng Twitter para sa isang SSL certificate pagkatapos na ang isang gumagamit ay nakakonekta na sa site. Ito ay isang kapaki-pakinabang na kasangkapan para sa mga site na nagpapahintulot sa mga user na mag-log gamit ang mga smart card o para sa mga site na naghihigpit sa pag-access sa isang piling grupo ng mga paunang natukoy na Web surfer, ngunit hanggang ang kapintasan ay maayos, muling pagbubukas ng client ang pinto para sa pag-atake ng SSL. Marahil maraming mga site tulad ng Twitter na nagpapahintulot sa renegotiation ng kliyente dahil lamang sa ito ay binuo sa SSL protocol at ang kapalit nito, TLS (Transport Layer Security), sinabi Marsh Ray, isa sa mga developer ng PhoneFactor na natuklasan ang isyu. "Ang isang pulutong ng mga tao ay hindi nakakaalam na ginagawa nila ito," sabi niya.

Ang mabuting balita ay ang maraming mga site ay maaari lamang i-disable ito tuwiran, na kung saan ay tila kung ano ang Twitter ay tapos na.

Ayon kay Ray, dapat matanto ng mga tao na habang ang SSL flaw ay hindi sakuna, "ito ay isang seryosong bug at kailangan ng mga tao na i-patch ito."