Bir güvenlik önlemi daha yerle bir oldu

Banka ve online alışveriş sitelerinin çok güvendiği bir kale daha yerle bir oldu: SSL'i de kırdılar.

Kırılmadık önlem kalmadı!

Secure Socket Layer, yani SSL, web sitelerini özel şifreleme yöntemleri ile koruyan bir teknoloji. Gönderilen ve alınan tüm veriyi gelişmiş yöntemlerle şifreleyen SSL, bu sayede transfer edilen verilere başkaları ulaşabilse bile, şifreyi kırmadan kullanamamalarını garanti ediyor. Fakat tek amacı SSL'in güvenli olmadığını ispatlamak olan ve kendini Moxie Marlinspike adıyla tanıtan bir araştırmacı, bir konferansta SSL ile korunan sitelere bir hacker gibi saldırarak, bu sitelerde güvenli bir şekilde saklandığı sanılan bilgilere çok kolay bir şekilde erişmeyi başardı.

SSL ile korunan sitelerin adres satırının başında yer alan http protokol tanımı, HTTPS'e dönüyor. Fakat çoğu kez, pek çok kullanıcı HTTPS protokolünü doğrudan kullanmadan, standart http üzerinden istediği siteye bağlanıyor ve bir link üzerinden SSL güvenliği bulunan HTTPS bölümüne geçiyor. Kimliğini açıklamayan araştırmacı SSL'e hiç dokunmadan bu geçişe ufak bir müdahalede bulunup, kendi zararlı yazılımını bu araya yerleştiriyor ve kimsenin ruhu bile duymadan tüm verilere ulaşmayı başarıyor.

Araştırmacı bunu engellemek için tek yöntemin kullanıcıların HTTPS protokolüne geçiş yaptıkları HTTP sayfasında çok dikkatli olmaları gerektiğini söylüyor.

Okuyucu Yorumları