Svájci kutatók egy csoportja fatális hibát fedezett fel az interneten leggyakrabban használt titkosító protokollban, a Secure Sockets Layer-ben (SSL). Az eredetileg a Netscape által kidolgozott, elsősorban a weboldalakhoz történő biztonságos hozzáférést és adatcserét lehetővé tevő protokollban most felfedezett hiba nem egy konkrét megvalósításban, hanem magában a szabályrendszerben rejlik, így praktikusan a világ minden webes SSL-implementációja sebezhetővé válik általa.

"Ez az első eset, hogy magában az SSL protokollban fedezünk fel egy hibát, és nem pedig annak használatában vagy implementációjában", mondta Serge Vaudenay, a hibát felfedező svájci egyetemi kutatócsoport vezetője. A kutatók a sebezhetőséget egy gyakorlati teszt során bizonyították, amelynek keretén belül egy kódolt SSL kapcsolaton át küldött jelszót kevesebb, mint egy óra alatt dekódoltak hétköznapi számítógépekkel.

"Elkaptunk egy kapcsolatot, kicseréltük egy hamisra, és figyeltük a szerver viselkedését", magyarázta a folyamatot Vaudenay professzor a BBC egy munkatársának. "Minden egyes alkalommal egy a jelszóra utaló apró információdarabkát szereztünk meg, és 160 próbálkozás után így sikerült is teljes egészében rekonstruálnunk azt."

A professzor elmondása szerint a sebezhetőség csakis azokban az esetekben jelent problémát, ahol a jelszavakat gyakran küldik el a szervernek, a bizalmas információk megszerzéséhez ugyanis rengeteg próbálkozásra van szükség. Így például amíg a különböző webes és levelezőrendszerek esetén viszonylag könnyű lehet a kódolás feltörése, a ritkán használt és a jelszavakat csak egyszer elküldő banki rendszer esetében gyakorlatilag belátható időn belül nem kivitelezhető a törés.

A hibát felfedező kutatócsoport egyébként értesítette az SSL fejlesztőcsoportot is, akik a szoftver legfrissebb kiadásában már kijavították a problémát.