Участники конференции Black Hat обговорили проблемы использования протокола SSL

Исследователи, принимающие участие в конференции по информационной безопасности Black Hat в Лас-Вегасе выступили с рядом докладов о проблемах безопасности данных, передаваемых через SSL-сертификат.

Система шифрования, применяющая алгоритм с открытым ключем очень широко используется, как большими организациями, так и отдельными пользователями, для обеспечения безопасности передачи данных. Однако согласно отчету сотрудников компании Qualys, только один сайт с поддержкой протокола HTTPS из пяти выполняет корректную переадресацию трафика. Остальные 80 процентов web-сайтов при определенных условиях могут этого не делать. Таким образом, пользователь остается уязвимым к атакам «человек по середине» через такие инструменты, как Firesheep.

По словам генерального директора Филип Кортуо (Philippe Courtot), с тех пор, как несколько лет назад был разработан SSL-протокол, в нем практически не появилось кардинальных изменений. В то же время коммерческие организации часто разворачивают SSL-сервера, даже нормально их не настроив.

Когда пользователь видит в своем web-обозревателе уведомление, которое сообщает об использовании SSL-прокола, он рассчитывает, что вводимые им данные защищены от перехвата. Однако по информации компании Courtot, владельцы многих web-ресурсов сознательно отключают функцию шифрования для передачи учетных данных. Практически 70 процентов web-сайтов, которые были исследованы, обрабатывают процесс авторизации в открытом виде, а практически половина сайтов не шифрует переданные пароли, что позволяет злоумышленникам легко их перехватывать.

Это очень серьезная проблема для пользователей мобильных устройств, считает Жюльен Собри (Julien Sobrier), старший исследователь безопасности компании Zscaler. Не существует пользовательских инструментов для блокировки незашифрованного исходящего трафика, которые способных подсказать владельцу мобильного устройства, что переданная им информация может быть перехваченной.