Säkerhetsforskarna Juliano Rizzo och Thai Doung har lyckats
knäcka den rådande säkerhetsstandarden SSL/TLS som tillämpas av många
internetbanker och andra internettjänster som kräver hög säkerhet. Genom att
använda en samling av Javascript som infekterar webbläsaren och en nätverks
”sniffer” som lokaliserar och avkodar de eftersökta cookies som krävs kan
upphovsmännen ganska enkelt komma över dina viktigaste användarnamn och
lösenord. De har valt att kalla sitt kodpaket för BEAST, som står för Browser
Exploit Against SSL/TLS.
Cyberkriminella kan enkelt använda ett flertal olika metoder
för att bryta sig genom SSL/TLS krypteringen men samtliga kräver att man delar
samma nätverk som sitt offer, och att offret skickar sin information flera
hundra gånger. Annars misslyckas de cyberkriminellas försök att komma åt
informationen. Med andra ord är inte användarna i någon omedelbar fara för
cyberkriminella men ett varningens finger har höjts genom demonstrationen med
BEAST attacken. Tillverkarna bakom de mest populära webbläsarna har nu börjat
arbetet för att skydda sina användare mot framtida attacker av det slaget.
[ad#Google Blogg]
Google har meddelat att deras servrar inte är mottagliga för
den här typen av servrar i, samt att sårbarheter av den här typen har varit
kända under en tioårsperiod men fram tills nu har de blivit bedömda som enbart
teoretiska. De tillkännagiver samtidigt att de håller på att utveckla en
uppdatering som ska göra den här typen av attacker omöjliga.
Microsoft har erkänt att det här kan komma att bli ett
problem i framtiden och har redan vidtagit åtgärder i form av ett flertal olika
uppdateringar. Även Mozilla har erkänt problemet och har börjat arbeta på en
uppdatering för att åtgärda säkerhetsproblemet.
Källa 1