【速報】SSLに脆弱性が発見される!! 解読ツールも同時に公開

このエントリーをはてなブックマークに追加
1名無しさん@涙目です。(岩手県)

通信を保護するために、何百万人もの人が使用するSecure Socket Layer (SSL) および Transport Layer Security (TLS) のプロトコルが、
攻撃者が解読出来るようになりました。

続きはソースで(英語)
http://thehackernews.com/2011/09/https-ssl-encryption-vulnerable-to.html

ツールと論文
http://insecure.cl/Beast-SSL.rar

これ↓が今回発表された形。

アルゼンチンのブエノスアイレスで開かれているセキュリティカンファレンス「ekoparty」で、研究者がhttpsに対する暗号攻撃について発表を予定している。
 このカンファレンスは9月21日から23日までの日程でブエノスアイレスで開かれるもの。カンファレンスのWebサイトに掲載された日程表によると、
この中で23日に、「SSL/TLSに対する選択平文攻撃」について2人の研究者がプレゼンテーションを行う。
 SSL/TLSはWebトラフィックの通信暗号化に用いられるプロトコル。「https」のURLが付いたWebサイトに利用され、ユーザーとWebサイトとの間でやり取りされる
データの盗聴や改ざんを防いでいる。23日の発表では、このSSL/TLSの脆弱性を突き、HTTPSリクエストの暗号を解読して認証トークンとcookieを入手する攻撃のコンセプトを実証予定だという。
 この発表について米セキュリティ機関のSANS Internet Storm Centerは、現時点で詳細は分かっていないとしながらも、当面できる対策として、
(1)他人のWi-Fiを使って銀行サービスなどを利用しないこと、(2)WebブラウザやサーバでTLS 1.2をサポートすること――を挙げている。

http://www.itmedia.co.jp/enterprise/articles/1109/21/news018.html
2名無しさん@涙目です。(東京都):2011/09/25(日) 21:56:58.10 ID:ybW/kLmq0
アマゾン終了か
やっぱ実店舗で商品みながら買うのが正しいよね
3名無しさん@涙目です。(青森県):2011/09/25(日) 21:57:07.74 ID:fUxUL9RS0
き…きじゃく
4名無しさん@涙目です。(栃木県):2011/09/25(日) 21:57:10.60 ID:qGIO0eIb0
名誉ν即民に認定する
5名無しさん@涙目です。(岩手県):2011/09/25(日) 21:59:06.45 ID:Ok870T44P
マジかよ
ネット終わったな
6名無しさん@涙目です。(大阪府):2011/09/25(日) 21:59:18.64 ID:6ZgBfMSY0
ベリサインはだいじょうぶなんだろ
ぐろさいなんかあったんだっけ
7名無しさん@涙目です。(茸):2011/09/25(日) 21:59:48.58 ID:GjqpDbQS0
よかった
頑なにクレカ払いじゃなく代引きにしといてよかった
8名無しさん@涙目です。(埼玉県):2011/09/25(日) 22:00:49.16 ID:mBHypGrK0
あーあ、グローバルサインやらかしたな
9名無しさん@涙目です。(dion軍):2011/09/25(日) 22:01:01.99 ID:B2dM3+9n0
アメリカがつくったものはCIAとかが盗聴できるようにしてあるだろ
結局ザルなシステムだったな
10名無しさん@涙目です。(チベット自治区):2011/09/25(日) 22:01:39.33 ID:4Q4RiKY00
クソ・・先を越されたか
11名無しさん@涙目です。(栃木県):2011/09/25(日) 22:01:44.23 ID:B2TCRzJG0
パケット盗聴されなきゃいいんだろ?
部屋からでない俺に死角はない
12名無しさん@涙目です。(iPhone):2011/09/25(日) 22:03:37.48 ID:cO+WR+Zj0
スッスルって何?
ITオタクの君ら教えて
13名無しさん@涙目です。(東京都):2011/09/25(日) 22:03:56.09 ID:8N4nQx4G0
SBI証券にログインして大丈夫?4万しか口座に入ってないが。
14名無しさん@涙目です。(石川県):2011/09/25(日) 22:05:01.76 ID:DnzhC6SS0
?ひょっとしてこれ無茶苦茶やばくね?
15名無しさん@涙目です。(埼玉県):2011/09/25(日) 22:06:28.91 ID:X5AxT6VZ0
今日、SSL/TLSの本買ってきた俺涙目wwwwwwwwwww
16名無しさん@涙目です。(東京都):2011/09/25(日) 22:06:31.40 ID:5FISUOOx0
おいおい、楽天、新生、SBIももう捨て時なのかよ。

メガバン最強なのか?
17名無しさん@涙目です。(埼玉県):2011/09/25(日) 22:06:35.67 ID:mXXG3MZh0
今まではSSLとかで暗号化していれば通信を傍受されても中身を読めなかったのが、中身が読めるようになったってことでOK?
これ公衆無線LANとかで気軽にログインも出来なくなるな
18名無しさん@涙目です。(長崎県):2011/09/25(日) 22:07:27.62 ID:xU8Myt6S0
オライリーーーーーーーーーー!!!!!!!AA略
19名無しさん@涙目です。(熊本県):2011/09/25(日) 22:07:31.12 ID:pwXMCV4j0
色々とやばそうなんだけど
20名無しさん@涙目です。(石川県):2011/09/25(日) 22:07:55.59 ID:DnzhC6SS0
>>12 おまえが銀行口座とかネット上で買い物とかするときに使われるプロトコル(手順)
それが破られたらネット上で金使ったりとか個人情報とか筒抜ける
21名無しさん@涙目です。(dion軍):2011/09/25(日) 22:08:02.33 ID:WQITtOU/0
>>1
よく分からん
おまいら、説明しろ
22名無しさん@涙目です。(神奈川県):2011/09/25(日) 22:08:27.66 ID:CfLEu6CK0
\(^o^)/
23名無しさん@涙目です。(大阪府):2011/09/25(日) 22:09:22.85 ID:6ZgBfMSY0
はかーがお金持ちになってうはうわ
24名無しさん@涙目です。(チベット自治区):2011/09/25(日) 22:09:46.05 ID:nsSjr2F3P
元々、諜報界隈では常識だろ、SSLが抜けてるってのは
25名無しさん@涙目です。(WiMAX):2011/09/25(日) 22:10:02.57 ID:axZ76TA10
>>1
>(1)他人のWi-Fiを使って銀行サービスなどを利用しないこと

こんな奴いるのかよ
26名無しさん@涙目です。(大阪府):2011/09/25(日) 22:12:06.46 ID:SgCdrCNx0
       | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|
       |          スーパーハカー|
       |                    |
       /    ̄ ̄ ̄ ̄      /_____
       /   おまえの      /___//
     /               /  /   /
     /    含み損ワロタ   /  /   /
    /   ____     /  /   /
   /             /  /   /
 /             /    /   /
27名無しさん@涙目です。(チベット自治区):2011/09/25(日) 22:12:29.17 ID:nsSjr2F3P
>>25
欧米ではフリースポット多いからね
28名無しさん@涙目です。(埼玉県):2011/09/25(日) 22:13:20.82 ID:oZKoD6Pj0
FirefoxってTLS1.0じゃなかった?
やばいのかこれ
29名無しさん@涙目です。(茸):2011/09/25(日) 22:15:33.70 ID:LuYLpeMu0
Opera最強伝説
30名無しさん@涙目です。(茨城県):2011/09/25(日) 22:15:49.72 ID:lB3YXHud0
SSLの暗号化は公開鍵暗号方式使ってるんじゃないの?
それが破られたってことならまずくね?
31名無しさん@涙目です。(チベット自治区):2011/09/25(日) 22:16:02.37 ID:I2VTI52Q0
>>28
IE9使えばいい
32名無しさん@涙目です。(埼玉県):2011/09/25(日) 22:16:14.18 ID:X5AxT6VZ0
スーパーハカーが儲けるのはどうでもいい
ザルの小切手の偽造や詐欺の古典的取引に比べれば大した額ではない

どうでもいいから、俺の本代返せ!!!!!!!!
33名無しさん@涙目です。(チベット自治区):2011/09/25(日) 22:16:59.14 ID:DNUBiwX90
他人の Wi-Fi とかいってるけど、そうじゃなければ
経路上に悪意のあるサーバーとかあっても大丈夫なのか?
34名無しさん@涙目です。(千葉県):2011/09/25(日) 22:17:47.85 ID:FkV1fe9Y0
頭の悪い俺にはよくわからん
35名無しさん@涙目です。(埼玉県):2011/09/25(日) 22:18:49.61 ID:oZKoD6Pj0
TLS1.2対応状況
Internet Explorer9 ○
Mozilla Firefox 6.0.2 ×
Opera 11.51 ○

Opera何気にすごい
36名無しさん@涙目です。(神奈川県):2011/09/25(日) 22:19:13.31 ID:NdRMBXxr0
37名無しさん@涙目です。(福岡県):2011/09/25(日) 22:19:16.39 ID:ovCgIsmH0
ホワイトボックスで量子暗号の実用化がもうすぐそこまで来てるって言ってた。
期待してる、理論上解読は絶対に不可能だって、でも人のやる事に絶対は無いよね。
38名無しさん@涙目です。(北海道):2011/09/25(日) 22:20:41.36 ID:n75286/a0
3行でまとめてくれ
39名無しさん@涙目です。(大阪府):2011/09/25(日) 22:21:09.61 ID:UAdoPkLb0
>>30
暗号自体より、暗号をやりとりするプロトコルに脆弱性があるってことじゃないの?
40名無しさん@涙目です。(群馬県):2011/09/25(日) 22:21:47.65 ID:Ppd2d6wi0
IE9使ってる奴 詳細設定で TLS 1.2 を有効にしとけよ
もっとも、相手サーバーが対応してなければ意味ないが
41名無しさん@涙目です。(埼玉県):2011/09/25(日) 22:23:48.34 ID:mXXG3MZh0
>>35
ちょろめも火狐も対応してないようだな
42名無しさん@涙目です。(埼玉県):2011/09/25(日) 22:23:57.68 ID:oZKoD6Pj0
>>40
TLS1.2だけにしてSSL3.0とTLS1.0のチェック外すとどこもかしこもエラーだから困る
Operaなんてアップデートサーバーも弾いてくるwww
43名無しさん@涙目です。(東京都):2011/09/25(日) 22:24:22.19 ID:UKmkf3lI0
Chrome用のパッチはもう出てるみたいだな
http://www.theregister.co.uk/2011/09/21/google_chrome_patch_for_beast/
44名無しさん@涙目です。(石川県):2011/09/25(日) 22:25:46.27 ID:DnzhC6SS0
SSL・TLS両方の脆弱性か
実装の脆弱性ではないっつーことか
きなくせぇなぁ
45名無しさん@涙目です。(埼玉県):2011/09/25(日) 22:26:00.60 ID:581fTI700
狐が対応するのは9位からか?
今や一番対応の遅い糞ブラウザに
46名無しさん@涙目です。(大阪府):2011/09/25(日) 22:27:36.60 ID:6ZgBfMSY0
やっぱ時代はjsオフ
クッキーオフだよな
47名無しさん@涙目です。(愛知県):2011/09/25(日) 22:30:55.60 ID:keCAj0n30
>>24
元々、諜報界隈では(キリッ

きめぇ
48名無しさん@涙目です。(チベット自治区):2011/09/25(日) 22:33:12.01 ID:mDDZHlpI0
これ事実なら物凄いニュースじゃないの?
49名無しさん@涙目です。(チベット自治区):2011/09/25(日) 22:33:24.29 ID:XEdbIu0O0
>>14
その?と?で挟むの地味に面白いからやめろ
50名無しさん@涙目です。(愛知県):2011/09/25(日) 22:36:23.04 ID:PM8t1HRQ0
ベリサインはじめ、結構な金額とってるじゃん。
銀行とかも普通に使ってるし。
はっきりいって賠償とかに発展するんじゃないの?
51名無しさん@涙目です。(チベット自治区):2011/09/25(日) 22:36:45.31 ID:eHG0kood0
ついに俺の2chで培った知識を活かす時がきたか
52名無しさん@涙目です。(東京都):2011/09/25(日) 22:40:39.38 ID:KNwemdzU0
シスアドの勉強でならったなあこれ
53名無しさん@涙目です。(長屋):2011/09/25(日) 22:49:08.40 ID:3/zcnsFd0
原文によると中間者攻撃が必須となっていることから、
信頼できないアクセスポイントを使うなっていう記事が出てるみたいね。
実際に自宅のPC(ウイルス無感染)からSSLで通信する際に
中間者攻撃を受ける可能性ってどのくらいあるんだろう?
54名無しさん@涙目です。(iPhone):2011/09/25(日) 22:54:21.44 ID:F2QdjVTS0
暗号が解読できるようになったのかとかなり驚いたのに脆弱性かよ。
55名無しさん@涙目です。(千葉県):2011/09/25(日) 22:56:13.02 ID:HX+uTvh40
遅いな。ブラウザ最終戦争スレでは金曜日に知らされていたぞ
56名無しさん@涙目です。(庭):2011/09/25(日) 23:03:56.75 ID:KyYVdeZK0
easytetherテザリ厨おわた
57名無しさん@涙目です。(栃木県):2011/09/25(日) 23:05:45.75 ID:jaLca1390
ブラウザで対応してても
サイト側がほとんど非対応だろ
SBIもだめだしどうしろと
58名無しさん@涙目です。(長野県):2011/09/25(日) 23:07:18.28 ID:fV3bZCyA0
ニュー速ハッキング部の奴らが前々から指摘してたじゃんこれ
59名無しさん@涙目です。(茸):2011/09/25(日) 23:10:22.58 ID:LjK3kpB30
>>56
なんで?
60名無しさん@涙目です。(福岡県):2011/09/25(日) 23:10:41.52 ID:qHwnZoud0
>>26
ムカつくなw
61名無しさん@涙目です。(福岡県):2011/09/25(日) 23:19:03.31 ID:jviXxS7O0
>>60
ww
62名無しさん@涙目です。(茸):2011/09/25(日) 23:19:04.64 ID:ZNWhUU9o0
SSLは元々、理論上では抜くことができるけど、
スペックの障壁で難しいっつう代物じゃんか。
63名無しさん@涙目です。(WiMAX):2011/09/26(月) 00:10:02.48 ID:SYt0Oymm0
銀行にログインできんだろ、助けろ
64名無しさん@涙目です。(東京都):2011/09/26(月) 00:11:27.13 ID:xV+bjMFX0
モバイルルーター、自宅wifiで銀行使えれば良いよ
65名無しさん@涙目です。(チベット自治区):2011/09/26(月) 00:13:06.50 ID:z8aq3tc10
よくわからんが、他人のWiFiを使うなってことは、
横から傍受して解読できるって方向の話かな

インターネットって中継する仕組みだから、
中継できる奴なら誰でも解読できるって話になっちまうのかどうすんだ
66名無しさん@涙目です。(チベット自治区):2011/09/26(月) 00:13:18.08 ID:n0ZLkMmG0
どうせ OpenSSL がクソなだけだろw
67名無しさん@涙目です。(内モンゴル自治区):2011/09/26(月) 00:13:47.05 ID:nlP4u00/O
金ため込んでるやつの口座の金が貧乏人に分配されないかなあ
現代版ねずみ小僧だ
68名無しさん@涙目です。(神奈川県):2011/09/26(月) 00:21:22.10 ID:BXEqoAsN0
IE9が落ちまくりなんだけど、どうすればよいのか。
Opera は使いたくない。
69名無しさん@涙目です。(栃木県):2011/09/26(月) 00:28:28.47 ID:nN1xxZ3g0
他人のアクセスポイントにタダ乗り ってのが
北朝鮮でネットにアクセス ってのと同義だと分かってない奴が多すぎる
70名無しさん@涙目です。(東京都):2011/09/26(月) 00:34:42.66 ID:iGiUSumX0
SSLv2にあったようなパケット改ざん系と予想
まあよっぽど怪しいAPの無線LANとか使わない限り関係ないだろ
71名無しさん@涙目です。(埼玉県):2011/09/26(月) 00:44:15.36 ID:nQ81v/LU0
>>68
現状TLS1.2対応はそのどっちかしかない
諦めろ

というかIE9はハードウェアレンダリング切れば落ちないと思う、たぶん
72名無しさん@涙目です。(千葉県):2011/09/26(月) 00:47:57.44 ID:qatVjOYD0
クッキー大好き!
73名無しさん@涙目です。(長屋):2011/09/26(月) 00:53:03.62 ID:2E15p4fA0
他人のWIFIどころか有線でも会社のとかやばいな。
74名無しさん@涙目です。(チベット自治区):2011/09/26(月) 00:53:48.45 ID:sOsu4Uid0
情報セキュリティスペシャリスト試験まであと3週間しかないワロタ
75名無しさん@涙目です。(東京都):2011/09/26(月) 01:13:05.20 ID:A/lgu0W40
>>53
無いです
76名無しさん@涙目です。(チベット自治区)
SSLがオワコン化しやがった
Amazon他通販終了したな