Недавно выпущенный инструмент для DoS-атак может довольно легко перегружать серверы, использующие протоколSSL. Для успешной атаки достаточно средней мощности лэптопа, подключённого к интернету через стандартное соединение DSL. Авторы этой программы - хакеры из группы The Hacker's Choice - назвали её THC-SSL-DOS.

"Мы надеемся, что сомнительная безопасность SSL не останется незамеченной. [Программная] индустрия должна вмешаться и решить проблему для того, чтобы граждане снова оказались в безопасности", - заявил один из членов THC.

Для установления SSL-соединения серверу требуется произвести примерно в 15 раз больше вычислений, чем клиенту. Этим и пользуется THC-SSL-DOS. Кроме того, программа использует уязвимость в SSL, позволяющую спровоцировать тысячи повторных SSL-согласований при помощи одного TCP-соединения. Стоит отметить, что даже если функция повторного SSL-согласования на сервере отключена, атакующие всё равно смогут успешно воспользоваться THC-SSL-DOS. Однако в этом случае потребуется нечто более мощное, чем лэптоп.

"Оно всё равно работает, даже если повторное SSL-согласование не поддерживается, но требует некоторых модификаций и большего количества ботов перед тем, как эффект [от атаки] станет заметен, - отмечают хакеры. - Атака на серверные фермы большего размера, использующие балансировщики нагрузки SSL, потребовала 20 лэптопов средней мощности и ширину полосы около 120 кбит/с".

Это не первый случай, при котором повторное SSL-согласование подвергло серверы опасности. В ноябре 2009 года выпускник одного из турецких университетов разработал атаку "человек посередине", использующую данную уязвимость в SSL, для кражи аутентификационных данных учётных записей Твиттера, передаваемых через защищённое соединение.