Хакеры выпустили ПО, которое, по их словам, позволяет одному компьютеру
вывести из строя серверы посредством эксплуатации подтвержденной уязвимости в
реализации secure sockets layer.

Немецкая группировка, известная как The Hacker’s Choice, выпустила
инструмент в
понедельник, пытаясь привлечь внимание к "продолжительной череде уязвимостей в
SSL", который веб-сайты используют для защиты персональных данных.

"Мы надеемся, что сомнительная безопасность SSL не останется незамеченной", —
сообщил в блоге неназванный член группировки. "Индустрия должна вмешаться и
устранить проблему, чтобы граждане снова были в безопасности. SSL использует
устаревший метод защиты приватных данных, который является сложным,
нецелесообразным и неподходящим для 21 века".

Инструмент THC-SSL-DOS позволяет одному компьютеру со скромным
интернет-соединением сокрушить намного более мощный сервер с большей пропускной
способностью, но только тогда, когда сервер поддерживает повторное подтверждение
SSL (SSL renegotiation), говорится в сообщении, опубликованном в понедельник.
Повторное подтверждение используется для создания нового секретного ключа,
обеспечивающего безопасность коммуникаций после того, как зашифрованная сессия
уже была начата. Переподтверждение было в основе уязвимости, обнаруженной в 2009
году. Данная уязвимость позволяла злоумышленникам внедрять текст в зашифрованный
трафик, проходящий между двумя конечными точками.

"Интересно то, что функция безопасности, которая была предназначена для
обеспечения большей безопасности SSL, на самом деле делает его более уязвимым
перед атакой", — заявил член группировки.

Инструмент позволяет простому лэптопу с стандартным DSL соединением сокрушить
обычный веб-сервер. Выведение из строя более крупной серверной фермы,
использующей балансировку нагрузки, требует около 20 лэптопов и скорость
примерно 120 кбит/с. Даже если сайты не поддерживают SSL renegotiation, они все
же могут быть поражены THC-SSL-DOS, хотя атака должна быть модифицирована.

Инструмент доступен как бинарный файл Windows и исходный код Unix.



Оставить мнение