De to sikkerhetsforskerne Thai Duong og Juliano Rizzo demonstrerte i forrige uke hvordan de kunne avlytte «sikker» HTTPS-webtrafikk med verktøyet BEAST (Browser Exploit Against SSL/TLS).
Trusselen regnes som så alvorlig at Mozilla nå vurderer å sperre for alle Java-utvidelser i nettleseren Firefox.
Angrepet mot krypteringsprotokollen, som er i bruk ved millioner av nettsteder for å sikre overføring av sensitive data, skal være svært effektivt.
På under to minutter sørget de for å dekryptere en kryptert autentiserings-cookie (informasjonskapsel) og skaffet seg uautorisert tilgang til en brukers konto i betalingstjenesten PayPal, skriver The Register.
BEAST benytter Javascript-kode i kombinasjon med en nettverkssniffer. Ifølge Mozilla er angrepet rettet mot en sårbarhet i TLS 1.0-beskyttet kommunikasjon.
Det er implementasjonen av denne protokollen, og ikke nettlesere i sin alminnelighet som er truet.
Duong og Rizzo utnyttet imidlertid også sårbarheter i Java for å lykkes med angrepet. Ifølge The Register ble rammeverket brukt for å omgå såkalt same-origin policy (SOP), en sikkerhetsmekanisme som skal sørge for at data under et domene ikke kan manipuleres fra andre nettadresser.
- Angrepet er ikke Firefox-spesifikt, og Firefox er ikke sårbar for dette i standardkonfigurasjoner, men det kan noen nettleserutvidelser være, oppgir Mozilla, som anbefaler alle brukere å ta sine forhåndregler ved å deaktivere Java-støtten.
De varsler samtidig at de vurderer å komme med en oppdatering som sperrer Java for alle brukere.
I utviklerforumet til Mozilla diskuteres den samme problemstillingen.
- Jeg anbefaler at vi blokkerer alle versjoner av Java. Slik jeg forstår det er det ikke sikkert at Oracle kjenner detaljene i SOP-sårbarheten. Det er høyst uklart når det vil foreligge en feilfiks, skriver Firefox-utvikleren Brian Smith.
Valget er svært kontroversielt, fordi en blokkering av Java vil påvirke mange nettleserebrukere som er avhengig av denne utvidelsen. BankID som mange norske banker benytter ved innlogging er bare ett eksempel.
- Ja, dette vil være en vanskelig beslutning. Å drepe Java innebærer å sperre funksjonalitet som videochatten til Facebook, så vel som ulike javabaserte forretningsapplikasjoner, fortsetter Jonathan Nightingale, som er utviklingssjef for Firefox.
Ulike tilnærminger
Duong og Rizzo skal ha gitt de store nettleserleverandørene rikelig med tid til å komme opp med løsninger, helt siden de tok kontakt i mai måned.
Produsentene av nettlesere ser ut til å svare med ulike tilnærminger.
Problemet kunne i prinsippet vært unngått ved å ta i bruk oppdateringen TLS 1.1, som har vært tilgjengelig siden 2006, men ifølge Google-ingeniør Adam Langley er det ikke riktig så enkelt.
- Flere vanlige SSL/TLS-biblioteker implementer fremdeles ikke TLS 1.1. En bred overgang til TLS 1.1 vil dessuten ikke hjelpe. For å støtte en vanlig implementeringsfeil i servere må nettlesere fortsatt støtte SSL 3.0 som et alternativ, selv 12 år etter at protokollen ble gjort foreldet ved introduksjonen av TLS 1.0, skriver han i et blogginnlegg.
Google Chrome prøver seg med en alternativ løsning, som nå prøves ut i utvikler- og betautgavene av nettleseren: Å innføre en tilfeldig overføring av krypterte applikasjonsdata, men som feilrapportene deres viser skal dette ha medført kompatibilitetsproblemer med enkelte nettsteder.
Microsoft meldte tidligere denne uken at de jobber med en feilfiks til Internet Explorer og alle Windows-versjoner tilbake til XP, men det er foreløpig uklart når denne foreligger.
Les også:
- [05.09.2012] Java-svada
- [22.12.2011] – Du bør slette Java
- [22.09.2011] Kan avlytte «sikker» webtrafikk på ti minutter