Banalnie prosty atak na SSL

26 października 2011 0 przez Marcin Kaczmarek

Niemiecka grupa The Hacker’s Choice opracowała narzędzie, za pomocą którego można przeprowadzić atak DoS z użyciem SSL. Narzędzie nie wykorzystuje żadnej luki w SSL, lecz jedynie wadę w postaci wielokrotnej renegocjacji połączenia, co wcześniej czy później doprowadza do unieruchomienia serwera. Wystarczy do tego dowolny, pojedynczny komputer oraz łącze szerokopasmowe.

THC-SSL-DOS odróżnia się od innych narzędzi do przeprowadzania ataków DoS, ponieważ nie wymaga zmasowanego ataku – wystarczy jeden komputer. Program wysyła wiele żądan otwarcia sesji, wymagających wielokrotnej renegocjacji SSL w celu uwierzytelnienia obu uczestników połączenia. Wymaga to znacznych zasobów serwera, co prowadzi do awarii systemu.

THC-SSL-DOS jest programem typu "proof of concept", mającym jedynie demonstrować słabość SSL. Hakerzy z grupy THC zwracają w ten sposób uwagę na zagrożenia, jakie powoduje protokół. W roku 2009 złamano szyfrowanie używane w protokole, w 2011 roku były to kradzieże licznych certyfikatów SSL. Udowodniona teraz możliwość łatwego unieruchomienia serwera jest kolejnym przejawem słabości SSL. Według THC, protokół SSL jest przestarzały i nie pasuje do rozwiązań XXI wieku.