Bun venit pe Forumul Andrei

Daca vezi aceasta pagina inseamna ca nu ai cont sau nu esti logat.
Daca doresti doar sa vizualizezi forumul poti apasa pe "x-ul" din dreapta si acesta imagine nu va mai fi afisata.

Pentru o vizualizare cat mai buna a acestui forum recomandam
8
Va uram o zi buna in continuare si o navigare cat mai placuta pe acest forum !


   
AcasaSustineFAQInregistrareConectareCautareCalendar
Twitter



HTTPS nu mai este sigur

Navigare :: Informatii pe domenii :: Soft :: IT :: Networking & Internet
AutorMesaj
 nick
avatar
Rang: Administrator


MesajSubiect: HTTPS nu mai este sigur Lun Mar 28, 2011 6:03 am  
O stire incredibil de importanta s-a strecurat practic neobservata pe la noi prin tara. https - protocolul pe care se bazeaza conexiunile securizate pe internet nu mai este sigur. De ceva timp.
Dar mai intai, un pic de istorie:

Identitatea si securitatea pe internet sunt relative si volatile. Din acest motiv a aparut la initiativa Netscape in 1994 protocolul https (prescurtare de la Hypertext Transport Protocol Secure). Fara acest protocol, poti sa dai click pe un link primit pe un email si in loc de bbc.co.uk sa ajungi pe hotchicksandfreeviagra.xxx (ca tot s-a dat drumul la TLD-ul cu pricina). Sau poti sa te loghezi pe contul tau de mail si pustanul care este in aceeasi retea de cartier sa iti ia username-ul si parola si sa iti citeasca toate email-urile.

Pe intelesul tuturor, https realizeaza doua functii deosebit de importante care impiedica scenariile de mai sus: certifica identitatea site-ului pe care il accesezi si impiedica accesul oricarei terte parti (in afara de tine si de destinatar) la continut.

Cum se realizeaza aceste doua operatiuni:

1. Identitatea

Identitatea unui website este garantata prin intermediul unei autoritati care o certifica. Asa cum identitatea unui individ este asigurata (teoretic) de buletinul de identitate pe care il elibereaza Evidenta Populatiei, identitatea unui website este garantata de certificatul de autenticitate pe care il emite una din autoritatile cu drept de emitere.

In momentul in care se utilizeaza certificatul, in fapt utilizatorul spune: “Eu (Mircea Voievod) am incredere in tine, autoritate de certificare ca site-ul pe care il accesez chiar vinde biberoane, nu vibratoare si nu imi trage de pe card in loc de 50 EUR, 4500 (daca ii ai in cont)!”

Pentru ca certificatul sa aiba valoare, autoritatea emitenta trebuie sa fie de incredere si documentul imposibil de falsificat. Increderea inseamna de fapt audituri anuale de securitate, iar siguranta certificatului se realizeaza prin intermediul unor algoritmi dezvoltati de niste matematicieni foarte destepti si poarta nume ca SHA-1 sau RSA.

Atfel, fiecare website are un fel de buletin-de-identitate-ultra-securizat care garanteaza ca entitatea aflata la adresa pe care o tastati este pe bune (www.portalulbanciiundeaibanii.ro nu este pagina unui hacker care face comenzi pe net pe banii din contul tau)...

2. Securizarea

Securizarea legaturii dintre website si utilizator se realizeaza imediat dupa stabilirea identitatii (pentru cei interesati in detalii tehnice, recomandam documentatia referitoare la TLS - protocolul criptografic standard in acest moment) iar cheia de criptare este stabilita “de comun acord” intre serverul / website si client. Si aici, algoritmii utilizati sunt considerati deosebit de siguri, in acest moment fiind practic imposibil de spart prin forta bruta.

Dupa aceasta scurta si superficiala incursiune in istoricul si modul de functionare al protocolului https sa revenim la titlul editorialului. De ce este acest protocol mai putin sigur? Popularitatea lui a atras dupa sine cresterea numarului de entitati care emit certificate de autenticitate la aproximativ 650. A spune ca nu toate sunt VeriSign, GoDaddy sau Comodo (cele mai de incredere autoritati in domeniu) ar insemna sa fim foarte ingaduitori.

Spre exemplu Etisalat este o companie de telecomunicatii emirateza, care emite certificate digitale. Si care, in 2010 a incercat sa implanteze spyware in BlackBerry-urile abonatilor sai. Prin calitatea sa de autoritate emitenta a certificatelor de autenticitate, Etisalat detine posibilitatea sa preia identitatea oricarui website de pe internet, fie ca este Google, Yahoo sau cel al bancii unde va tineti economiile de-o viata. Si nu este singura.

Un alt exemplu graitor este cel al guvernului tunisian, care a incercat si a si reusit (partial) sa fure datele de acces pe Facebook, Google si Twitter pentru a sterge conturile protestatarilor cu ajutorul providerilor de internet. Si care are propria autoritate emitenta de certificate.

Vulnerabilitati de securitate generate de certificate compromise au fost nenumarate de la intrarea in vigoare a sistemului, dar acestea s-au datorat in majoritate unor atacuri realizate de terti impotriva emitentilor de certificate si nu a eludarii sistemului in mod voit, de catre cei in care avem incredere sa ne securizeze zilnic traficul.

Ca sa intelegeti mai bine, revin la comparatia cu buletinele de identitate: una este ca din cand in cand sa apara un buletin falsificat de un “meserias” si alta este ca una din sectiile de Politie sa tipareasca pe banda rulanta buletine falsificate pentru a-si atinge scopurile proprii. In primul caz este un fenomen izolat si ale carui consecinte sunt relativ usor de rezolvat, pe cand in al doilea caz, intregul sistem de identitati este pus sub semnul intrebarii.

Majoritatea browserelor moderne au implementat un sistem de verificare in timp real al certificatului si de atentionare a utilizatorului cand acesta nu este valid, denumit OCSP - Online Certificate Status Protocol. Va functiona acest sistem in cazul inundarii pietei cu certificate invalide? Este dificil de spus.

Inchei acest editorial citandu-l pe Jacob Applebaum, unul din programatorii care lucreaza la proiectul Tor, care spunea intr-un post pe blog-ul sau ca sistemul de stabilire a increderii pe Internet este defect si ca aceasta stare de fapt ar trebui sa-i trezeasca pe cei responsabil la realitate:“Trebuie neaparat sa cercetam, sa dezvoltam si sa distribuim noi metode care sa certifice increderea, identitatea, autenticitatea si confidentialitatea [pe Internet].”

Sursa:yoda.ro

*Scrie romaneste
*Sterg mesajele inutile sau scrise cu CAPS
*Nu fa spam
*Linkurile relevante în context sunt binevenite.

Transferul se face din contul dumnevoastra de Paypal




Copyright © 2008-2014 Forumul Andrei. Toate drepturile rezervate. Termeni si conditii
Aspect creat si codat de Alexandru Miron & Nick

.