В криптографическом протоколе SSL обнаружена опасная уязвимость

Команда из трех исследователей Google обнаружила неприятную уязвимость в популярном криптографическом протоколе, которая вызвала широкий резонанс среди большинства пользователей интернета, поспешно проводящих оценку безопасности собственных систем, сообщает "ITC". 

В опубликованном исследователями Google описывается новый способ атаки под названием POODLE (Padding Oracle On Downgraded Legacy Encryption), позволяющий обойти механизмы защиты на базе криптографического протокола SSL (да-да, этот же протокол фигурировал ранее в этом году, когда была найдена опасная уязвимость Heartbleed). Эта ошибка, которая также известна как "Poodlebleed", не столь опасна и всеобъемлющая, как Heartbleed, но все же сумела посеять панику в сообществе исследователей.

Различные интернет-площадки все активнее внедряют шифрование для защиты важных данных пользователей. Подобные средства защиты существенно усложняют злоумышленникам задачу по перехвату информации, передаваемой по каналам связи. К ним можно отнести криптографические протоколы SSL и TLS, широко используемые для защиты информации, передаваемой между клиентом и сервером. О поддержке тем или иным веб-сайтом защищенного соединения SSL говорит иконка в виде замка зеленого цвета наряду с упоминанием протокола HTTPS в URL ресурса. В случае компрометации SSL перед опытным злоумышленником открывается целый вектор для атаки, которую можно осуществлять из любой точки сети.

В предоставленном исследователями Google отчете данная уязвимость расписана в деталях, что обеспечивает системным администраторам преимущество в поисках решения проблемы, а потенциальным злоумышленникам — показывает все способы использования уязвимости на свой лад.

Стоит отметить, что POODLE имеет отношение к SSL версии 3.0, которая была заменена 15 лет назад. Тем не менее, эта версия протокола до сих пор поддерживается многими системами и может быть активирована при определенных обстоятельствах. В этой связи исследователи призывают системных администраторов отказаться от поддержки SSL 3.0, чтобы предотвратить возможность совершения POODLE-атаки.