Bir güvenlik önlemi daha yerle bir oldu

Banka ve online alışveriş sitelerinin çok güvendiği bir kale daha yerle bir oldu: SSL'i de kırdılar.

Bir güvenlik önlemi daha yerle bir oldu
İnternet üzerinde hemen hemen tüm güvenlikten SSL sorumlu.

Secure Socket Layer, yani SSL, web sitelerini özel şifreleme yöntemleri ile koruyan bir teknoloji. Gönderilen ve alınan tüm veriyi gelişmiş yöntemlerle şifreleyen SSL, bu sayede transfer edilen verilere başkaları ulaşabilse bile, şifreyi kırmadan kullanamamalarını garanti ediyor. Fakat tek amacı SSL'in güvenli olmadığını ispatlamak olan ve kendini Moxie Marlinspike adıyla tanıtan bir araştırmacı, bir konferansta SSL ile korunan sitelere bir hacker gibi saldırarak, bu sitelerde güvenli bir şekilde saklandığı sanılan bilgilere çok kolay bir şekilde erişmeyi başardı.

SSL ile korunan sitelerin adres satırının başında yer alan http protokol tanımı, HTTPS'e dönüyor. Fakat çoğu kez, pek çok kullanıcı HTTPS protokolünü doğrudan kullanmadan, standart http üzerinden istediği siteye bağlanıyor ve bir link üzerinden SSL güvenliği bulunan HTTPS bölümüne geçiyor. Kimliğini açıklamayan araştırmacı SSL'e hiç dokunmadan bu geçişe ufak bir müdahalede bulunup, kendi zararlı yazılımını bu araya yerleştiriyor ve kimsenin ruhu bile duymadan tüm verilere ulaşmayı başarıyor.

Araştırmacı bunu engellemek için tek yöntemin kullanıcıların HTTPS protokolüne geçiş yaptıkları HTTP sayfasında çok dikkatli olmaları gerektiğini söylüyor.

Ümit Öncel

Okuyucu Yorumları

Toplam 13 Yorum

Belli ki XSS yapmis. Peki bunun SSL protokolu ile ne alakasi var?

SSL kırılmış falan değil bu Phishing denilen olay...

Ayırt edilir mi ? Evet, Firefox 3 kullanıcıları HTTPS protokolü kullanırken adres çubuğunun solundaki yeşil simgeyi görerek emin olabilirler.

ssl i kırmak dediğiniz bu mu?

bi bu kalmıştı zaten
gelde online alışveriş yap şimdi
sanal alemin suyu çıktı artık...!

şimdi bu adam iyilik mi yapmış ,güvenlik şirketlerine yol mu göstermiş ,yoksa hacker'lara bakın bu iş çok kolay siz de yapın mı demiş anlayamadım :(

bu beklenmeliydi,şaşılacak bir durum değil.her zaman dediğim gibi,herşey kullanıcıda biter ve asıl açık kullanıcının aklındadır :)

SSL'i kırmamış ki. FBI'ın aradığı türk hacker SSL'i 6 ayda kırdığını söylüyordu. Windows'un açığınıda 50.000$'a satmış.

Adam bal gibi kırmış. Cracker ya da Hacker'lık denen olay da zaten koruma parçalanmaz, sadece etrafından dolaşılır ya da bir açıktan içeri sızılır. Adam da açığını yakalamış, etrafından dolaşmış ve amacına ulaşmış. Yani bal gibi kırmış.

bir çok kimsenin ne haltlar yediğini anlatmak istemiş....bankaların da artık bir takım şeylere eğilmesi gerektiğini anlatıyor. SSL in levellerini geliştirmelerini istemiş de olabilir...şimdi görünen şu windows versiyonları için geliştirilenler ve bankalar için geliştirilenler ve işyerleri için geliştirilenleri olması gerektiğini ve bunların kullanıcılara bedel karşılığında sözleşmeli olarak verilmesini kullanım sürelerinin olmasını dilemiş olabilir. Kısaca evinizde ve işyerinizde iki pc ve birini günlük diğerini de sadece işleriniz için ayırmanız. SSL internet tarayıcı içinde sisteminize kurulu geliyor güncelliyorsunuz.Ancak iş versiyonlarında ve bankacılar için ve müşterileri içinde ayrıca güvenlikli hale getirilmiş hem işletim sistemi hem de bankacılık işlerine göre güvenlikli hale getirilmiş ve SSL ayarlamalarını o bankaya göre tasarlanıp hazırlanmış olması gerektirdiğini anlatıyor.Çeşitlilik arttı.Detaylar genişledi.Çok iyi korunması gerekiyor böyle yerlerin SSL gibi derinliklerin herşeyi pc nize kurmamalısınız.Hatta recoverylenmiş işletim sisteminizi ilk günkünden kurunuz.Sonra özel olarak SSL güvenliğini sağlatınız markalı pc kullanıcıları....

Arkadaşlar içiniz rahat olsun. Bu tipik bir yönlendirme açığı saldırısı. SSL in kırıldığı felan yok yani. Haber biraz yanıltıcı olmuş :D

böyle haberleri okudukça teknolojiden soğuyorum, gönül rahatlığıyla alışveriş, bankacılık hayal. Kredi kartımı da kapattırıp net bankacılığını iptal ettirecem bu gidişle

ssl in kirilmasi icin yuklu olan sertifikanin sifresinin kirilmasi gerekiyor yaniltici bir haber burada http uzerinden kullanici yaniltilarak veriler ele geciriliyor https baglantisi uzerinden gonderdiginiz verilerin kirilmasi cok uzun surecek bir is ki o zamana kadar kredi kartinizi 5 defa degistirmis olursunuz ve o zamana kadarda bir kac mbt lik sifreleyen sertifikalar kullanilmaya baslanmis olur

böyle haber yapılmaz. anlatılanla "SSL'i de kırdılar." hiç uyuşmuyor. alakası yok. ltf. dikkatli olalım. sansasyonel yaklaşımdan kaçınalım...

Sen de yorum yaz

 


CHIP'i Takip edin
E-Posta listemize katılın
CHIP Dergi Mobil Cihazınızda

İlginizi çekebilir