Un nouvel outil pour les tests de réseau de sécurité appelé Nogotofail, a été publié par Google hier. Il est open-source et destiné aux utilisateurs qui souhaitent contribuer à l'amélioration de la sécurité sur Internet. Il est conçu pour renforcer la faiblesse des connexions TLS et vérifier les problèmes de la célèbre SSL 3.0 certificat.
Nogotofail a été créé par l'équipe de sécurité Android, et il travaillera avec tous les appareils capables de se connecter à Internet. Il sera compatible avec tous les systèmes d'exploitation (Linux, Fenêtres, iOS, Androïde, etc), et son but principal est d'empêcher man-in-the-middle attaques en raison de la faiblesse ou non sécurisé TLS ou SSL 3.0 certificats.
Proposé sur le service d'hébergement sur le Web GitHub, l'outil a pour objectif de tester les applications les plus complexes et les remplacer dans la configuration de réseau si nécessaire. Les développeurs d'outils ont inclus des tests pour se transmet habituellement SSL 3.0 certificat de validation, HTTP et TLS / Bibliothèque bogues SSL, questions en texte clair et SSL & STARTTLS décapage problèmes. L'exécution de ces utilisateurs test ont souvent besoin de plusieurs bibliothèques; tout au long de l'évolution de la configuration initiale des applications peut conduire à l'augmentation des problèmes de sécurité pour l'utilisateur moyen.
Les utilisateurs ont la possibilité de décider quels périphériques ou applications sont exposées à la vulnérabilité; ils peuvent également demander des informations supplémentaires afin de déterminer qui et cela peut effectivement les amener juste faire de plus en plus de tests à la fin.
«Il ya un client facile à utiliser pour configurer les paramètres et recevoir des notifications sur Android et Linux, ainsi que le moteur de l'attaque elle-même, qui peut être déployée en tant que routeur, Serveur VPN, ou par procuration. ", Tchad Brubaker, Ingénieur sécurité Android dit dans un blog concernant le nouvel outil bien.
Le moteur d'attaque Nogotofail peut fonctionner comme un proxy, VPN ou routeur, visant à aider les développeurs à créer essai les plus proches des attaques réelles. Il devrait également être en mesure d'effectuer des tests sur les protocoles reposant sur STARTTLS pour déterminer si il ya une faiblesse dans le protocole TLS / SSL 3.0 certificats.
→«Nous avons utilisé cet outil nous pendant un certain temps et nous avons travaillé avec de nombreux développeurs à améliorer la sécurité de leurs applications. Mais nous voulons que l'utilisation de TLS / SSL pour avancer le plus rapidement possible »., Un message Brubaker conclut. Aujourd'hui, nous sortons comme un projet open-source, afin que chacun puisse tester leurs applications, apporter de nouvelles fonctionnalités, fournir un soutien pour plusieurs plates-formes, et contribuer à améliorer la sécurité de l'Internet.’
