Et nyt værktøj til sikkerhed test af netværket kaldet Nogotofail, blev frigivet af Google i går. Det er open source og er beregnet til brugere, der ønsker at bidrage til internetsikkerhed forbedring. Det er designet til at styrke svage TLS-forbindelser og kontrollere problemer med den berygtede SSL 3.0 certifikat.
Nogotofail er skabt af Android sikkerhed team, og det vil arbejde med hver enhed i stand til at oprette forbindelse til internettet. Det vil være kompatibel med alle operativsystemer (Linux, Vinduer, iOS, Android, etc.), og dens hovedformål er at forhindre man-in-the-middle-angreb på grund af svage eller usikker TLS eller SSL 3.0 certifikater.
Tilbydes på web-baseret hosting service GitHub, værktøjet til formål at teste mere komplicerede applikationer og tilsidesætte dem i netværkskonfigurationen hvis det er nødvendigt. Værktøjet udviklere har medtaget test for almindeligt spredt SSL 3.0 certifikat valideringer, HTTP og TLS / SSL bibliotek bugs, klartekst spørgsmål og SSL & STARTTLS stripping problemer. Udførelse af sådanne testbrugere ofte bruge flere biblioteker; alle sammen med at ændre applikationers indledende opsætning kunne føre til stigende de sikkerhedsmæssige problemer for den gennemsnitlige bruger.
Brugerne har mulighed for at beslutte, hvilke enheder eller applikationer udsat for sårbarheden; de kan også anmode om yderligere oplysninger til at afgøre det, og det kan faktisk føre dem bare laver flere og flere test i slutningen.
"Der er en nem-at-bruge-klient for at konfigurere indstillinger og få meddelelser på Android og Linux, samt angrebet motor selv, der kan implementeres som en router, VPN-server, eller proxy. «, Chad Brubaker, Android Security Engineer siger i en blog om det nye værktøj selv.
Den Nogotofail angreb motor kan fungere som en proxy, VPN eller router, har til formål at hjælpe udviklere til at skabe test nærmest virkelige angreb. Det bør også være i stand til at udføre test på protokoller afhængige STARTTLS at afgøre, om der er en svaghed i den TLS / SSL 3.0 certifikater.
→»Vi har brugt dette værktøj selv i nogen tid og har arbejdet med mange udviklere til at forbedre sikkerheden i deres apps. Men vi ønsker at anvende TLS / SSL for at gå videre så hurtigt som muligt. «, Brubaker besked konkluderer. 'I dag, vi frigive det som et open source-projekt, så alle kan teste deres applikationer, bidrage med nye funktioner, yde støtte til flere platforme, og hjælpe med at forbedre sikkerheden på internettet.’
