Появился новый инструмент для проведения DoS атак на SSL серверы

Появился новый инструмент для проведения DoS атак на SSL серверы

Инструмент использует встроенную функцию SSL сервера, которую можно использовать для проведения атак отказа в обслуживании.

image

Организация  The Hacker's Choice  (THC) выпустила утилиту  THC-SSL-DOS , которую можно использовать как инструмент для проведения DoS атак (отказа в обслуживании) на SSL серверы. Программа использует уязвимость в функции повторного подтверждения SSL (SSL renegotiation). «Интересно то, что функция , которая была предназначена для обеспечения большей безопасности SSL, на самом деле делает его более уязвимым перед атакой», - отметил участник THC. Согласно его утверждениям, для успешного проведения атаки достаточно применить THC-SSL-DOS из ноутбука с подключением к сети Интернет.

Как сообщили представители группы THC, они решили опубликовать программу в свободном доступе, поскольку ее аналог появился в сети Интернет несколько месяцев назад. «Мы надеемся, что низкий уровень безопасности SSL не останется незамеченным. Разработчики должны вмешаться и обеспечить надежный уровень безопасности для пользователей», - следует из сообщения представителя THC.  

Стоит отметить, что для успешного проведения подобной атаки на крупную серверную ферму понадобится порядка 20 ноутбуков и подключение к сети Интернет со скоростью не менее 128 кбит/с. Кроме того, представители THC отметили, что атака может быть проведена даже в том случае, когда сервер не поддерживает SSL renegotiation, однако для этого потребуется модифицировать метод атаки.  

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.