【速報】SSLに脆弱性が発見される!! 解読ツールも同時に公開
1 :
名無しさん@涙目です。(岩手県):
通信を保護するために、何百万人もの人が使用するSecure Socket Layer (SSL) および Transport Layer Security (TLS) のプロトコルが、
攻撃者が解読出来るようになりました。
続きはソースで(英語)
http://thehackernews.com/2011/09/https-ssl-encryption-vulnerable-to.html ツールと論文
http://insecure.cl/Beast-SSL.rar これ↓が今回発表された形。
アルゼンチンのブエノスアイレスで開かれているセキュリティカンファレンス「ekoparty」で、研究者がhttpsに対する暗号攻撃について発表を予定している。
このカンファレンスは9月21日から23日までの日程でブエノスアイレスで開かれるもの。カンファレンスのWebサイトに掲載された日程表によると、
この中で23日に、「SSL/TLSに対する選択平文攻撃」について2人の研究者がプレゼンテーションを行う。
SSL/TLSはWebトラフィックの通信暗号化に用いられるプロトコル。「https」のURLが付いたWebサイトに利用され、ユーザーとWebサイトとの間でやり取りされる
データの盗聴や改ざんを防いでいる。23日の発表では、このSSL/TLSの脆弱性を突き、HTTPSリクエストの暗号を解読して認証トークンとcookieを入手する攻撃のコンセプトを実証予定だという。
この発表について米セキュリティ機関のSANS Internet Storm Centerは、現時点で詳細は分かっていないとしながらも、当面できる対策として、
(1)他人のWi-Fiを使って銀行サービスなどを利用しないこと、(2)WebブラウザやサーバでTLS 1.2をサポートすること――を挙げている。
http://www.itmedia.co.jp/enterprise/articles/1109/21/news018.html
2 :
名無しさん@涙目です。(東京都):2011/09/25(日) 21:56:58.10 ID:ybW/kLmq0
アマゾン終了か
やっぱ実店舗で商品みながら買うのが正しいよね
3 :
名無しさん@涙目です。(青森県):2011/09/25(日) 21:57:07.74 ID:fUxUL9RS0
き…きじゃく
4 :
名無しさん@涙目です。(栃木県):2011/09/25(日) 21:57:10.60 ID:qGIO0eIb0
名誉ν即民に認定する
5 :
名無しさん@涙目です。(岩手県):2011/09/25(日) 21:59:06.45 ID:Ok870T44P
マジかよ
ネット終わったな
ベリサインはだいじょうぶなんだろ
ぐろさいなんかあったんだっけ
7 :
名無しさん@涙目です。(茸):2011/09/25(日) 21:59:48.58 ID:GjqpDbQS0
よかった
頑なにクレカ払いじゃなく代引きにしといてよかった
あーあ、グローバルサインやらかしたな
9 :
名無しさん@涙目です。(dion軍):2011/09/25(日) 22:01:01.99 ID:B2dM3+9n0
アメリカがつくったものはCIAとかが盗聴できるようにしてあるだろ
結局ザルなシステムだったな
10 :
名無しさん@涙目です。(チベット自治区):2011/09/25(日) 22:01:39.33 ID:4Q4RiKY00
クソ・・先を越されたか
11 :
名無しさん@涙目です。(栃木県):2011/09/25(日) 22:01:44.23 ID:B2TCRzJG0
パケット盗聴されなきゃいいんだろ?
部屋からでない俺に死角はない
12 :
名無しさん@涙目です。(iPhone):2011/09/25(日) 22:03:37.48 ID:cO+WR+Zj0
スッスルって何?
ITオタクの君ら教えて
SBI証券にログインして大丈夫?4万しか口座に入ってないが。
14 :
名無しさん@涙目です。(石川県):2011/09/25(日) 22:05:01.76 ID:DnzhC6SS0
?ひょっとしてこれ無茶苦茶やばくね?
15 :
名無しさん@涙目です。(埼玉県):2011/09/25(日) 22:06:28.91 ID:X5AxT6VZ0
今日、SSL/TLSの本買ってきた俺涙目wwwwwwwwwww
おいおい、楽天、新生、SBIももう捨て時なのかよ。
メガバン最強なのか?
今まではSSLとかで暗号化していれば通信を傍受されても中身を読めなかったのが、中身が読めるようになったってことでOK?
これ公衆無線LANとかで気軽にログインも出来なくなるな
オライリーーーーーーーーーー!!!!!!!AA略
色々とやばそうなんだけど
>>12 おまえが銀行口座とかネット上で買い物とかするときに使われるプロトコル(手順)
それが破られたらネット上で金使ったりとか個人情報とか筒抜ける
21 :
名無しさん@涙目です。(dion軍):2011/09/25(日) 22:08:02.33 ID:WQITtOU/0
\(^o^)/
はかーがお金持ちになってうはうわ
24 :
名無しさん@涙目です。(チベット自治区):2011/09/25(日) 22:09:46.05 ID:nsSjr2F3P
元々、諜報界隈では常識だろ、SSLが抜けてるってのは
>>1 >(1)他人のWi-Fiを使って銀行サービスなどを利用しないこと
こんな奴いるのかよ
| ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|
| スーパーハカー|
| |
/  ̄ ̄ ̄ ̄ /_____
/ おまえの /___//
/ / / /
/ 含み損ワロタ / / /
/ ____ / / /
/ / / /
/ / / /
27 :
名無しさん@涙目です。(チベット自治区):2011/09/25(日) 22:12:29.17 ID:nsSjr2F3P
28 :
名無しさん@涙目です。(埼玉県):2011/09/25(日) 22:13:20.82 ID:oZKoD6Pj0
FirefoxってTLS1.0じゃなかった?
やばいのかこれ
Opera最強伝説
SSLの暗号化は公開鍵暗号方式使ってるんじゃないの?
それが破られたってことならまずくね?
31 :
名無しさん@涙目です。(チベット自治区):2011/09/25(日) 22:16:02.37 ID:I2VTI52Q0
32 :
名無しさん@涙目です。(埼玉県):2011/09/25(日) 22:16:14.18 ID:X5AxT6VZ0
スーパーハカーが儲けるのはどうでもいい
ザルの小切手の偽造や詐欺の古典的取引に比べれば大した額ではない
どうでもいいから、俺の本代返せ!!!!!!!!
33 :
名無しさん@涙目です。(チベット自治区):2011/09/25(日) 22:16:59.14 ID:DNUBiwX90
他人の Wi-Fi とかいってるけど、そうじゃなければ
経路上に悪意のあるサーバーとかあっても大丈夫なのか?
34 :
名無しさん@涙目です。(千葉県):2011/09/25(日) 22:17:47.85 ID:FkV1fe9Y0
頭の悪い俺にはよくわからん
35 :
名無しさん@涙目です。(埼玉県):2011/09/25(日) 22:18:49.61 ID:oZKoD6Pj0
TLS1.2対応状況
Internet Explorer9 ○
Mozilla Firefox 6.0.2 ×
Opera 11.51 ○
Opera何気にすごい
お
37 :
名無しさん@涙目です。(福岡県):2011/09/25(日) 22:19:16.39 ID:ovCgIsmH0
ホワイトボックスで量子暗号の実用化がもうすぐそこまで来てるって言ってた。
期待してる、理論上解読は絶対に不可能だって、でも人のやる事に絶対は無いよね。
3行でまとめてくれ
39 :
名無しさん@涙目です。(大阪府):2011/09/25(日) 22:21:09.61 ID:UAdoPkLb0
>>30 暗号自体より、暗号をやりとりするプロトコルに脆弱性があるってことじゃないの?
40 :
名無しさん@涙目です。(群馬県):2011/09/25(日) 22:21:47.65 ID:Ppd2d6wi0
IE9使ってる奴 詳細設定で TLS 1.2 を有効にしとけよ
もっとも、相手サーバーが対応してなければ意味ないが
42 :
名無しさん@涙目です。(埼玉県):2011/09/25(日) 22:23:57.68 ID:oZKoD6Pj0
>>40 TLS1.2だけにしてSSL3.0とTLS1.0のチェック外すとどこもかしこもエラーだから困る
Operaなんてアップデートサーバーも弾いてくるwww
SSL・TLS両方の脆弱性か
実装の脆弱性ではないっつーことか
きなくせぇなぁ
狐が対応するのは9位からか?
今や一番対応の遅い糞ブラウザに
やっぱ時代はjsオフ
クッキーオフだよな
48 :
名無しさん@涙目です。(チベット自治区):2011/09/25(日) 22:33:12.01 ID:mDDZHlpI0
これ事実なら物凄いニュースじゃないの?
>>14 その?と?で挟むの地味に面白いからやめろ
50 :
名無しさん@涙目です。(愛知県):2011/09/25(日) 22:36:23.04 ID:PM8t1HRQ0
ベリサインはじめ、結構な金額とってるじゃん。
銀行とかも普通に使ってるし。
はっきりいって賠償とかに発展するんじゃないの?
ついに俺の2chで培った知識を活かす時がきたか
シスアドの勉強でならったなあこれ
53 :
名無しさん@涙目です。(長屋):2011/09/25(日) 22:49:08.40 ID:3/zcnsFd0
原文によると中間者攻撃が必須となっていることから、
信頼できないアクセスポイントを使うなっていう記事が出てるみたいね。
実際に自宅のPC(ウイルス無感染)からSSLで通信する際に
中間者攻撃を受ける可能性ってどのくらいあるんだろう?
暗号が解読できるようになったのかとかなり驚いたのに脆弱性かよ。
55 :
名無しさん@涙目です。(千葉県):2011/09/25(日) 22:56:13.02 ID:HX+uTvh40
遅いな。ブラウザ最終戦争スレでは金曜日に知らされていたぞ
easytetherテザリ厨おわた
57 :
名無しさん@涙目です。(栃木県):2011/09/25(日) 23:05:45.75 ID:jaLca1390
ブラウザで対応してても
サイト側がほとんど非対応だろ
SBIもだめだしどうしろと
58 :
名無しさん@涙目です。(長野県):2011/09/25(日) 23:07:18.28 ID:fV3bZCyA0
ニュー速ハッキング部の奴らが前々から指摘してたじゃんこれ
SSLは元々、理論上では抜くことができるけど、
スペックの障壁で難しいっつう代物じゃんか。
63 :
名無しさん@涙目です。(WiMAX):2011/09/26(月) 00:10:02.48 ID:SYt0Oymm0
銀行にログインできんだろ、助けろ
64 :
名無しさん@涙目です。(東京都):2011/09/26(月) 00:11:27.13 ID:xV+bjMFX0
モバイルルーター、自宅wifiで銀行使えれば良いよ
65 :
名無しさん@涙目です。(チベット自治区):2011/09/26(月) 00:13:06.50 ID:z8aq3tc10
よくわからんが、他人のWiFiを使うなってことは、
横から傍受して解読できるって方向の話かな
インターネットって中継する仕組みだから、
中継できる奴なら誰でも解読できるって話になっちまうのかどうすんだ
66 :
名無しさん@涙目です。(チベット自治区):2011/09/26(月) 00:13:18.08 ID:n0ZLkMmG0
どうせ OpenSSL がクソなだけだろw
67 :
名無しさん@涙目です。(内モンゴル自治区):2011/09/26(月) 00:13:47.05 ID:nlP4u00/O
金ため込んでるやつの口座の金が貧乏人に分配されないかなあ
現代版ねずみ小僧だ
IE9が落ちまくりなんだけど、どうすればよいのか。
Opera は使いたくない。
他人のアクセスポイントにタダ乗り ってのが
北朝鮮でネットにアクセス ってのと同義だと分かってない奴が多すぎる
70 :
名無しさん@涙目です。(東京都):2011/09/26(月) 00:34:42.66 ID:iGiUSumX0
SSLv2にあったようなパケット改ざん系と予想
まあよっぽど怪しいAPの無線LANとか使わない限り関係ないだろ
71 :
名無しさん@涙目です。(埼玉県):2011/09/26(月) 00:44:15.36 ID:nQ81v/LU0
>>68 現状TLS1.2対応はそのどっちかしかない
諦めろ
というかIE9はハードウェアレンダリング切れば落ちないと思う、たぶん
72 :
名無しさん@涙目です。(千葉県):2011/09/26(月) 00:47:57.44 ID:qatVjOYD0
クッキー大好き!
73 :
名無しさん@涙目です。(長屋):2011/09/26(月) 00:53:03.62 ID:2E15p4fA0
他人のWIFIどころか有線でも会社のとかやばいな。
情報セキュリティスペシャリスト試験まであと3週間しかないワロタ
SSLがオワコン化しやがった
Amazon他通販終了したな