реклама
Роман бъгът за криптиране изплува наскоро, което може да представлява заплаха за поверителността в мрежата. Озаглавена „LogJam“, грешката се появява в TSL (транспортния слой за сигурност), протокол за криптиране, използван за удостоверяване на сървъри и скриване на съдържанието на защитена уеб активност (като вашия банков вход).
Проблемът позволява на атакуващия човек в средата да принуди браузъра ви и сървъра, към който е свързан, да използва слаба форма на криптиране, която е уязвима за груби атаки. Това е свързано с Уязвимост на „FREAK“ SuperFREAK: Нова уязвимост на грешката засяга защитеността на работния плот и мобилните браузъриУязвимостта на FREAK е тази, която засяга вашия браузър, и не е ограничена до нито един браузър, нито до една операционна система. Разберете дали сте засегнати и се предпазвайте. Прочетете още открити и лепенки по-рано тази година. Тези грешки идват по петите на по-катастрофални проблеми със сигурността като Heartbleed Сърцебиене - какво можете да направите, за да останете в безопасност? Прочетете още
и Shellshock По-лошо от сърдечно? Запознайте се с ShellShock: Нова заплаха за сигурността за OS X и Linux Прочетете още .
Докато корекциите работят в повечето браузъри, поправката може да остави хиляди уеб сървъри недостъпни, докато не бъдат надстроени с коригиран код.
Военно наследство
За разлика от повечето уязвимости в сигурността, които са причинени просто от надзора на програмиста 1000 приложения за iOS имат осакатяващ SSL бъг: Как да проверите дали сте засегнатиГрешката в AFNetworking създава проблеми на потребителите на iPhone и iPad, като в резултат на това има хиляди приложения, които носят уязвимост SSL сертификатите не са правилно удостоверени, което потенциално улеснява кражбата на самоличност чрез човек в средата атаки. Прочетете още , тази уязвимост е поне отчасти умишлена. Още в началото на 90-те, когато започна революцията за компютър, федералното правителство беше загрижено за това износът на силна технология за криптиране на чужди сили може да компрометира способността й да шпионира други нации. По онова време силната технология за криптиране се считаше, че законно е форма на въоръжение. Това позволи на федералното правителство да постави ограничения за неговото разпространение.
В резултат на това, когато SSL (Secure Socket Layer, предшественик на TSL) е разработен, той е разработен в два вкуса - американската версия, която поддържани клавиши с пълна дължина 1024 бита или по-големи и международната версия, която надхвърля 512-битови клавиши, които са експоненциално по-слаба. Когато двете различни версии на SSL говорят, те се връщат към по-лесно счупения 512-битов ключ. Правилата за експортиране бяха променени поради противопоставяне на граждански права, но поради причини за съвместимост с обратна сила, съвременните версии на TSL и SSL все още поддържат 512 битови ключове.
За съжаление има грешка в частта на протокола TSL, която определя коя дължина на ключа да се използва. Този бъг, LogJam, позволява a човек-в-средата Какво е атака на човек в средата? Обяснен жаргон за сигурностАко сте чували за атаки "човек в средата", но не сте съвсем сигурни какво означава това, това е статията за вас. Прочетете още нападател, за да подмами и двамата си клиенти да мислят, че говорят с наследена система, която иска да използва по-къс ключ. Това влошава силата на връзката и улеснява декриптирането на комуникацията. Този бъг е скрит в протокола от около двадесет години и едва наскоро е разкрит.
Кой е засегнат?
Понастоящем грешката засяга около 8% от най-добрите милиони HTTPS уебсайтове и голям брой пощенски сървъри, които имат тенденция да остаряват остарял код. Всички основни браузъри са засегнати, с изключение на Internet Explorer. Засегнатите уебсайтове ще показват зеленото заключване на https в горната част на страницата, но не биха били сигурни срещу някои атакуващи.
Производителите на браузъри са се съгласили, че най-стабилното решение на този проблем е да премахнете цялата наследена поддръжка за 512-битови RSA ключове. За съжаление това ще доведе някаква част от Интернет, включително много пощенски сървъри, недостъпни, докато техният фърмуер не бъде актуализиран. За да проверите дали браузърът ви е кръпка, можете да посетите сайт, създаден от изследователите по сигурността, открили атаката, на адрес weakdh.org.
Практичност на атаката
И така колко уязвими е 512-битов ключ тези дни, така или иначе? За да разберем, първо трябва да разгледаме какво точно е нападнато. Размяна на ключове Diffie-Hellman е алгоритъм, използван, за да позволи на две страни да се споразумеят за споделен симетричен ключ за криптиране, без да го споделят с хипотетичен снупър. Алгоритъмът Diffie-Hellman разчита на споделен първи номер, вграден в протокола, който диктува неговата сигурност. Изследователите успяха да пробият най-често срещаните от тези прайдове в рамките на една седмица, което им позволява да декриптират около 8% от интернет трафика, който беше криптиран с по-слабия 512-битов прайм.
Това поставя тази атака в обсег на "нападател на кафе" - дребнав крадец подскачане на сесии чрез обществен WiFi 3 опасности от влизане в обществен Wi-FiЧухте, че не трябва да отваряте PayPal, банковата си сметка и евентуално дори имейла си, докато използвате обществен WiFi. Но какви са действителните рискове? Прочетете още и бутони за принуждаване след факта, за възстановяване на финансова информация. Атаката би била тривиална за корпорации и организации като НСА, които може да се постараят да накарат човек в средната атака за шпионаж. Така или иначе, това наистина представлява достоен риск за сигурността, както за обикновените хора, така и за всеки, който може да бъде уязвим за проникване от по-мощни сили. Със сигурност някой като Едуард Сноудън трябва да бъде много внимателен да използва необезпечен WiFi за обозримото бъдеще.
По-притеснително е, че изследователите предполагат също, че стандартните дължини, които се считат за сигурни, като 1024-битовия Diffie-Hellman, може да бъде уязвим за груба атака от мощно правителство организации. Те предлагат мигриране към значително по-големи размери на ключовете, за да се избегне този проблем.
Нашите данни са сигурни?
Грешката в LogJam е нежелано напомняне за опасностите от регулирането на криптографията с цел национална сигурност. Усилията за отслабване на враговете на Съединените щати нараниха всички и направиха всички нас по-малко безопасни. Това идва в момент, когато ФБР полага усилия да принуди технологичните компании да го направят включете заден план в своя софтуер за криптиране. Има много голям шанс, че ако спечелят, последствията за следващите десетилетия ще бъдат също толкова сериозни.
Какво мислиш? Трябва ли да има ограничения за силна криптография? Защитен ли е браузърът ви срещу LogJam? Уведомете ни в коментарите!
Кредитни изображения: Кибервоенна война на ВМС на САЩ, Клавиатура за хакер, HTTP, Знак на НСА от Wikimedia
Писател и журналист със седалище в Югозапада, Андре гарантирано остава функционален до 50 градуса Целзий и е водоустойчив до дълбочина от дванадесет фута.
