Vendors Scrambling to Fix Bug in Security Net

Producers around dunia berebut untuk memperbaiki pepijat yang serius dalam teknologi yang digunakan untuk memindahkan maklumat dengan selamat di Internet.

Kesilapan terletak pada protokol SSL, yang paling terkenal sebagai teknologi yang digunakan untuk penyemakan imbas selamat di laman web yang bermula dengan HTTPS, dan membolehkan penyerang memintas komunikasi SSL (Secure Sockets Layer) yang selamat di antara komputer menggunakan apa yang dikenali sebagai serangan menengah.

Walaupun cacat ini hanya boleh dieksploitasi dalam keadaan tertentu, ia boleh digunakan untuk menggodam pelayan dalam kongsi

Pembacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda

"Ini adalah cacat tahap protokol. " kata Paget, ketua pegawai teknologi dengan perundingan keselamatan yang dipanggil H4rdw4re. "Terdapat banyak perkara yang perlu diselesaikan pada satu ini: pelayar web, pelayan web, pengimbas beban Web, pemecut web, pelayan mel, pelayan SQL, pemandu ODBC, protokol rakan sebaya."

Walaupun penyerang perlu terlebih dahulu menggodam jaringan korban untuk melancarkan serangan orang-dalam-tengah, hasilnya akan menjadi sangat buruk - terutama jika digunakan dalam serangan yang disasarkan untuk mendapatkan akses ke pangkalan data atau pelayan mel, Kata Paget.

Kerana ia digunakan secara meluas, SSL sentiasa berada di bawah mikroskop penyelidik keselamatan. Pada penghujung tahun lepas, penyelidik mendapati cara untuk membuat sijil SSL palsu yang akan dipercayai oleh mana-mana penyemak imbas, dan pada bulan Ogos penyelidik melancarkan beberapa serangan baru yang dapat menjejaskan trafik SSL. Tetapi tidak seperti serangan itu, yang berkaitan dengan infrastruktur yang digunakan untuk menguruskan sijil digital SSL, bug terbaru ini terletak pada protokol SSL itu sendiri dan akan menjadi lebih sukar untuk diperbaiki.

Perkara-perkara rumit yang lebih jauh adalah fakta bahawa bug itu secara tidak sengaja didedahkan pada senarai mel yang tidak jelas pada hari Rabu, memaksa penjual menjadi perebutan gila untuk menambal produk mereka.

Isu ini ditemui di Auguust oleh penyelidik di PhoneFactor, sebuah syarikat keselamatan telefon mudah alih. Mereka telah bekerja selama dua bulan yang lalu dengan konsortium vendor teknologi yang dikenali sebagai ICASI (Industri Konsortium untuk Kemajuan Keselamatan di Internet) untuk menyelaraskan satu penetapan luas industri untuk masalah itu, yang digelar "Project Mogul."

Tetapi mereka Pelan berhati-hati telah dibuang ke dalam kekecewaan pada hari Rabu apabila jurutera SAP, Martin Rex, menemui pepijat itu sendiri. Ternyata tidak menyadari keseriusan masalah itu, dia menyiarkan pengamatannya mengenai isu itu ke dalam senarai diskusi IETF (Task Force Internet Engineering Task Force). Ia kemudiannya dipublikasikan oleh penyelidik keselamatan HD Moore.

Menjelang Rabu petang, cukup orang bercakap mengenai isu yang PhoneFactor memutuskan untuk umum dengan penemuan mereka. "Pada ketika itu kami merasa seperti orang jahat yang tahu dan kami merasakan kami mempunyai tanggungjawab untuk orang-orang yang baik untuk mengetahui juga," kata Sarah Fender, naib presiden pemasaran TelefonFactor.

Fender tidak dapat mengatakan siap sedia isu itu, tetapi dia menyatakan bahawa beberapa produk sumber terbuka "cemas" untuk menolak patch.

Walaupun ahli keselamatan mengatakan cacat itu mungkin ada selama bertahun-tahun, dianggap telah dieksploitasi dalam sebarang serangan.

"Walaupun kita menganggapnya sebagai kelemahan material, bukanlah akhir dunia," kata Fender.