Nhà nghiên cứu bảo mật Dan Kaminsky đã đưa ra những chi tiết cụ thể cho lời công bố của ông về những lỗ hổng nghiêm trọng trong giao thức mã hóa SSL trong một cuộc thảo luận về bảo mật tại Black Hat ở Las Vegas. Kaminsky, trưởng dự án kiểm tra mức độ xâm nhập cho IOActive, nói rằng chứng nhận số X.509 được sử dụng trong mã hóa và nhận dạng SSL sử dụng hàm mã hóa MD2 đã lỗi thời và yếu.
VeriSign (NSDQ:VRSN) trước đây đã từng sử dụng MD2 để ra tín hiệu cho các chứng nhận kỹ thuật số của công ty nhưng công ty này nói họ đã ngừng sử dụng từ năm ngoái. Tuy nhiên, theo như Kaminsky, mặc dù các doanh nghiệp đã đầu tư hàng triệu đô la cho X.509, nó vẫn gặp phải những vấn đề liên quan tới kỹ thuật và cấu trúc. Đây là năm thứ hai liên tiếp Kaminsky đã cảnh báo về những khả năng xâm nhập lớn trong hệ thống Internet.
Năm ngoái, Kaminsky đã làm kinh ngạc trong buổi hội thảo tại Black Hat với bài diễn thuyết về khả năng bị xâm nhập của DNS. Những khả năng đó sẽ mở cửa cho các cuộc tấn công đầu độc nơi lưu trữ và theo như ông nói có thể hạ gục IPSec, chứng nhận SSL, hệ thống tự động cập nhật phấn mềm, lọc thư rác, và VoIP. Trong một cuộc thuyết trình tại Black Hat năm nay, nhà nghiên cứu bảo mật Moxie Maslinspike cũng nêu ra cách mà kẻ đột nhập có thể lừa được chứng nhận SSL bằng cách cho dãy ký tự vô hiệu hóa vào trong vùng chứng nhận, như vậy sẽ lừa trình duyệt web chấp nhận mật mã và tạo đường cho nhiều hành vi xấu khác.
Tin cũ hơn:
- 20/10/2009 17:00 - Mẹ một hacker Anh cầu xin Obama giúp đỡ
- 20/10/2009 16:44 - Phòng bệnh hơn chữa bệnh: IBM có được công nghệ kiểm tra bảo mật
- 20/10/2009 16:04 - Việt Nam phát tán spam nhiều thứ 9 toàn cầu
- 20/10/2009 15:56 - Facebook tiếng Việt tiếp tục bị hack giao diện