• Acasă
  • Despre noi
  • Autori
  • Mărturii
  • Arhivă
  • Trimite Articol
  • Contact

WORLDIT

Lumea în 1 și 0.

  • Știri
    • Tehnologie
    • Tehnologie mobilă
    • Securitate
    • Developers
    • Știință
    • Benzi desenate
    • Jocuri
    • Intern
  • Tehnic
    • Browser
    • C#
    • C/C++
    • Challenge
    • HTML/CSS
    • Javascript, Ajax, jQuery
    • Open Source
    • PHP
    • Python
    • Securitate IT
    • Socializare
    • WordPress
    • Altele
  • Recenzii
  • Interviuri
  • Evenimente

Un certificat SSL de Paypal a fost publicat

2
  • Publicat de Andrei Avădănei
  • în Securitate · Știri
  • — 6 oct., 2009 at 9:22 pm

null byteUn certificat SSL fals ce ar putea permite unuio atacator sa insele utilizatorii IE, Safari sau Chrome de pe Windows, creand impresia unor pagini legitime PayPal au fost publicate.Aplicatia exploateaza un byte din sistemul CryptoAPI Microsoft, o vulnerabilitate ce a fost prezentata in timpul unei conferinte Black Hat,unde Moxie Marlinspike a demonstrat un POC prin insererea unui bit null in certificat.

In programare , acest caracter este folosit pentru a stabilit lungimea sirului de caractere iar bug-ul din Microsoft CryptoAPI, ce este folosit de browsere precum IE,Safari sau Chrome pentru a parsa certificatele SSL determina oprirea certificatului cand intalneste \0(caracterul null). Domnul Marlinspike a reusit sa obtina cateva certificate cu prefix nul, unul dintre acestea fiind : www.paypal.com\0ssl.secureconnection.cc.

In timpul sesiuni Black Hat ce avea ca subiect interceptarea mesajelor securizate, certificatul a fost dat participantilor pentru a demonstra conceptul, dar unul dintre acestea a lansat acel POC ieri. Asta inseamna ca oricine poate folosi de acum incolo o combinatie de SSLSniff , o aplicatie pentru atacuri de acest gen, pentru a intercepta traficul utilizatorilor Paypal carora le vor da pagini web ce vor parea a fi „legitime”.

Teoretic, sistemul de securitate bazate pe certificate are un sistem de protectie(OCSP), dar se pare ca acelasi Marlinspike a demonstrat si o metoda de a trimite mesaje OCSP false pentru a valida paginile, cu aceeasi aplicatie SSLSniff.

Este de mentionat si de laudat reactia foarte rapida asupra acestei vulnerabilitati de echipa de la Firefox, ce a rezolvat aceasta eroare in cateva zile de la conferinta Black Hat in versiunea Firefox 3.5.2 .Se poate observa de aici si interesul celor de Microsoft. 🙂

Etichete: black hatCryptoAPI MicrosoftMarlinspikeOCSPSSLSSLSniff

— Andrei Avădănei a scris 1246 articole

Andrei scrie pe worldit.info din vara lui 2011. Este fondatorul Asociatiei Centrul de Cercetare in Securitate Informatica din Romania - CCSIR si coordoneaza DefCamp, cea mai importanta conferinta de securitate informatica & hacking din Europa Centrala si de Est. Andrei ofera in cadrul Bit Sentinel servicii de securitate informatica, penetration testing, security management, recuperarea de pe urma unui atac cibernetic, training-uri si workshop-uri.

  • Articolul anterior Problema Siruri Periodice
  • Articolul următor Wii mai ieftin

2 Comentarii

  1. TheJudger spune:
    octombrie 8, 2009 la 7:38 pm

    Dupa ce certificatul a devenit public, contul de paypal al lui Moxie Marlinspike a fost blocat.

  2. Avadanei Andrei spune:
    octombrie 8, 2009 la 9:04 pm

    Da am auzit si faza asta, mi se pare cea mai idioata reactie ce o putea face cineva cu un nivel atat de mare. INCOMPETENTA!!!


  • Facebook

    WorldIT.info
  • Ultimele Atacuri Cibernetice din Romania – RO Hacked

    [wp_rss_retriever url="https://rohacked.bit-sentinel.com/feed/" excerpt="none" items="5" read_more="false" new_window="true" thumbnail="false" cache="0"] RO Hacked este registrul atacurilor cibernetice din România.
  • Caută

  • Articole Recomandate

    • Recent Posts
    • Tags
    • Număr record de participanți la DefCamp 2015, cel mai important eveniment dedicat securității cibernetice din Europe Centrala si de Estdecembrie 2, 2015
    • La DefCamp 2015 vei afla prin ce tehnici pot fi evitate măsurile de securitate ale sistemelor informatice criticeoctombrie 16, 2015
    • Ultima sansa sa rezervi bilete de tip Early Bird la DefCamp 2015septembrie 1, 2015
    • 15 sfaturi despre cum poti deveni un programator bun venite de la specialisti romaniaugust 4, 2015
    • algoritmica Android antivirus Apple Avadanei Andrei benzi desenate BitDefender blog browser C++ Chrome concurs eveniment Facebook Firefox Google google chrome hacking html5 infografic informatica internet Internet Explorer IT javascript linux Microsoft Mozilla Firefox online PHP programare retea sociala review Romania securitate Tehnologie Twitter web Windows Windows 7 Wordpress WorldIT worldit.info Yahoo! YouTube
  • martie 2021
    L Ma Mi J V S D
    1234567
    891011121314
    15161718192021
    22232425262728
    293031  
    « dec.    
  • Link-uri Sponsorizate

    • laptop second hand

    • Calculatoare Second Hand

    • cod voucher pc garage

  • Home
  • Știri
  • Securitate
  • Un certificat SSL de Paypal a fost publicat
  • Important

    • Bit Sentinel
    • Centrul de Cercetare în Securitate Informatică din România
    • DefCamp
  • Prieteni

    • BetiT.ro
    • bijuterii handmade
    • Computerica | Resurse gratuite PC
    • Descopera.org
    • Gadgeturi si IT – Giz.ro
  • Prieteni

    • PC – Config
    • RO Hacked
    • Stiri IT

Copyright © 2009-2014 WORLDIT. Toate drepturile Rezervate.
Termeni și condiții | Contact | Licența Creative Commons