Инструмент использует встроенную функцию SSL сервера, которую можно использовать для проведения атак отказа в обслуживании.
Организация The Hacker's Choice (THC) выпустила утилиту THC-SSL-DOS , которую можно использовать как инструмент для проведения DoS атак (отказа в обслуживании) на SSL серверы. Программа использует уязвимость в функции повторного подтверждения SSL (SSL renegotiation). «Интересно то, что функция , которая была предназначена для обеспечения большей безопасности SSL, на самом деле делает его более уязвимым перед атакой», - отметил участник THC. Согласно его утверждениям, для успешного проведения атаки достаточно применить THC-SSL-DOS из ноутбука с подключением к сети Интернет.
Как сообщили представители группы THC, они решили опубликовать программу в свободном доступе, поскольку ее аналог появился в сети Интернет несколько месяцев назад. «Мы надеемся, что низкий уровень безопасности SSL не останется незамеченным. Разработчики должны вмешаться и обеспечить надежный уровень безопасности для пользователей», - следует из сообщения представителя THC.
Стоит отметить, что для успешного проведения подобной атаки на крупную серверную ферму понадобится порядка 20 ноутбуков и подключение к сети Интернет со скоростью не менее 128 кбит/с. Кроме того, представители THC отметили, что атака может быть проведена даже в том случае, когда сервер не поддерживает SSL renegotiation, однако для этого потребуется модифицировать метод атаки.
Гравитация научных фактов сильнее, чем вы думаете