Aukon havainnut PhoneFactor-niminen yritys varoittaa ssl-protokollan (secure sockets layer) haavoittuvuudesta. Aukon avulla voidaan tehdä niin sanottuja man in the middle -hyökkäyksiä, joissa hyökkääjä tunkeutuu nettikäyttäjän ja palvelun väliseen suojattuun yhteyteen.

– Koska tämä on protokollahaavoittuvuus, eikä vain toteutushaavoittuvuus, ovat vaikutukset kauaskantoisia. Kaikki ssl-kirjastot pitää paikata, ja useimmat loppukäyttäjä- ja palvelinsovellukset pitää, vähintäänkin, varustaa ssl-kirjastojen uusilla kopioilla. Useimpien käyttäjien pitää lopulta päivittää kaikki ohjelmistonsa, jotka käyttävät ssl:ää, yhtiö kiteyttää tiedotteessaan.

PhoneFactorin mukaan ongelma koskee mahdollisesti useimpia ssl-suojausta käyttäviä verkkosivustoja. Haavoittuvuus purkaa osittain ssl-lukon, mihin käyttäjät nojaavat varmistaessaan, että heidän viestintänsä verkkopalvelun, kuten pankin, kanssa on turvallista.

Vaikea
hyödyntää?

Viestintäviraston tietoturvayksikkö Cert-fi selvittää, että suojatun yhteyden uudelleen neuvottelun (renegotiate) yhteydessä edellistä ssl/tls-yhteyttä (transport layer security) ja neuvottelun tuloksena syntyvää yhteyttä ei sidota kryptografisesti toisiinsa. Siksi hyökkääjän on eräissä sovelluskerroksen protokollissa mahdollista lisätä ssl/tls-istunnon alkuun omaa sisältöään.

Esimerkiksi suojatussa http-yhteydessä hyökkääjä voi istunnon alussa syöttää palvelimelle komentoja, jotka palvelin käsittelee niin kuin ne tulisivat autentikoidulta käyttäjältä.

Haavoittuvuuden vaikutukset eivät Cert-fi:n mukaan ole vielä kaikilta osin selvillä. Mutta PhoneFactorin tutkijat huomauttivat The Register -lehdelle, että haavoittuvuutta pitää todennäköisesti hyödyntää yhdessä jonkin toisen tietoturvapuutteen kanssa ja silloinkin hyökkääjä ei pystyisi kuitenkaan lukemaan käyttäjän ja palvelimen välillä kulkevaa salattua tietoa.

Paljastuminen
yllätti yhtiön

PhoneFactorille tuli hoppu ssl-haavoittuvuuden kanssa, sillä yhtiön piti julkaista sen tarkemmat tiedot vasta ensi vuoden puolella. Mutta viime viikolla muut tutkijat pääsivät itsenäisesti saman ongelman jäljille ja kirjoittivat siitä postituslistalla.

Ssl-salauksesta on löydetty viime aikoina muitakin ongelmia. Kesän Black Hat -tapahtumassa tuotiin esimerkiksi esille eri ssl-toteutuksia koskevia ongelmia. Nekin mahdollistivat hyökkäykset, joissa rikollinen on uhrin ja palvelun välissä.