SSL: könnyen megbénítható szerverek

Az SSL idén is gyakran került a biztonsági hírek élére. Volt, hogy népszerű webes szolgáltatások alapértelmezetté tett SSL-alapú kommunikációja váltott ki érdeklődést, ugyanakkor az is előfordult, hogy hitelesítésszolgáltatóknál bekövetkezett, és SSL-tanúsítványokat hátrányosan érintő incidensek borzolták a kedélyeket. A napokban pedig egy olyan alkalmazás hívta fel magára a figyelmet, amely szolgáltatásmegtagadási támadásokat tesz lehetővé az SSL-alapú kommunikációt is alkalmazó kiszolgálók ellen.

A THC-SSL-DOS eszköz nem ismeretlen a biztonság világában. A korábbi verziói már igazolták, hogy megfelelő körülmények esetén komoly fejtörést tudnak okozni a szerverüzemeltetők számára. A kis segédeszköz ugyanis akkor is képes lehet megbénítani egy kiszolgálót, ha a támadóknak viszonylag kevés erőforrás és sávszélesség áll rendelkezésükre.

"Egy biztonságos SSL-kapcsolat felépítése szerveroldalon 15-ször több erőforrást igényel, mint a klienseken. A THC-SSL-DOS ezt használja fel arra, hogy kiszolgálókat bénítson meg és tegyen elérhetetlenné. Az alapprobléma már 2003 óta ismert, és az összes SSL-implementációt érinti" - vélekedtek a program készítői.

A THC-SSL-DOS korábbi verziói még erőteljesen az SSL-újraegyeztetés (renegotiation) kapcsán felmerülő biztonsági anomáliákra építkeztek, és igazán akkor tudtak problémát okozni, ha a célpontba állított szerveren az SSL-Renegotiation engedélyezett volt. Azonban a napokban a fejlesztők bejelentették, hogy az alkalmazásuk legújabb változata akkor is viszonylag "hatékonyan" képes ellátni a feladatát, ha az újraegyeztetés a célponton tiltott. (Ekkor minden SSL-handshake során új TCP kapcsolat épül fel.)

A fejlesztők szerint amennyiben az SSL-Renegotiation elérhető, akkor akár egyetlen notebook (DSL-kapcsolattal) képes lehet egy kiszolgáló megbénítására. Ha az újraegyeztetés lehetősége nem áll rendelkezésre, akkor is elegendő lehet 20 laptop egy több szerverből álló rendszer elérhetetlenné tételéhez. "Egy átlagos szerver 300 handshake végrehajtására képes másodpercenként, de a DoS-támadást végrehajtó notebookon eközben csak 10-25 százalékos processzorterhelés jelentkezik" - vélik a fejlesztők.

A THC-SSL-DOS készítői a védelem szempontjából azt javasolták, hogy amennyiben lehetséges, akkor ki kell kapcsolni az SSL-Renegotiationt (még akkor is, ha ez már nem jelent komoly védelmet), és megfelelően konfigurált SSL-gyorsítókat érdemes használni. Ugyanakkor a fejlesztők azt is hozzátették, hogy igazi megoldást csak az fog jelenteni, ha a piaci szereplők, szervezetek összefognak, és közösen orvosolják az elmúlt években felmerült problémákat.