Peter Holmes
0 
2975
649
Nedávno se objevila nová šifrovací chyba, která by mohla ohrozit soukromí online. Daboval “Nakupení plaveného dříví,” k chybě dochází v TSL (Transport Security Layer), šifrovacím protokolu používaném k ověřování serverů a skrytí obsahu zabezpečené webové aktivity (jako je vaše bankovní přihlášení).
Tato chyba umožňuje útočníkovi uprostřed útoku vynutit prohlížeč a server, ke kterému je připojen, aby používal slabou formu šifrování, které je citlivé na útoky hrubou silou. To souvisí s chybou zabezpečení „FREAK“ SuperFREAK: Nová chyba zabezpečení s chybou ovlivňuje zabezpečení stolního a mobilního prohlížeče SuperFREAK: Nová chyba zabezpečení s chybou ovlivňuje zabezpečení stolního počítače a mobilního prohlížeče Chyba zabezpečení FREAK je taková, která ovlivňuje váš prohlížeč, a není omezena na žádný prohlížeč ani jediný operační systém. Zjistěte, zda jste zasaženi a ochraňte se. objevil a opravil začátkem tohoto roku. Tyto chyby přicházejí na patách více katastrofických bezpečnostních problémů, jako je Heartbleed Heartbleed - Co můžete udělat, abyste zůstali v bezpečí? Heartbleed - Co můžete udělat, abyste zůstali v bezpečí? a ShellShock horší než srdce? Seznamte se s ShellShock: Nová bezpečnostní hrozba pro OS X a Linux je ještě horší než srdce? Seznamte se s ShellShock: Nová bezpečnostní hrozba pro OS X a Linux .
Zatímco záplaty fungují pro většinu hlavních prohlížečů, oprava může nechat tisíce webových serverů nedostupných, dokud nebudou upgradovány opraveným kódem..
Vojenské dědictví
Na rozdíl od většiny bezpečnostních chyb, které jsou způsobeny jednoduše programátorským dohledem 1 000 aplikací iOS má ochromující chybu SSL: Jak zkontrolovat, zda jste zasaženi 1 000 aplikací iOS má ochromující chybu SSL: jak zkontrolovat, zda jste zasaženi Chyba AFNetworking dává iPhone a problémy uživatelů iPadu, s tisíci aplikací, které přenášejí zranitelnost, což má za následek správné ověření certifikátů SSL, což potenciálně usnadňuje krádež identity pomocí útoků typu člověk-uprostřed. , tato zranitelnost je alespoň částečně úmyslná. Na začátku 90. let, kdy začala revoluce v PC, se federální vláda obávala, že export silné šifrovací technologie do zahraničních mocností by mohl ohrozit její schopnost špehovat jiné národy. V té době byla silná šifrovací technologie legálně považována za formu zbraně. Toto umožnilo federální vládě omezit její distribuci.
Výsledkem bylo, že když byl vyvinut SSL (Secure Socket Layer, předchůdce TSL), byl vyvinut ve dvou variantách - americká verze, která podporovala klíče plné délky 1024 bitů nebo větší, a mezinárodní verze, která dosáhla vrcholu 512 -bitové klíče, které jsou exponenciálně slabší. Když mluví dvě různé verze protokolu SSL, vrátí se k jednoduššímu zlomenému 512bitovému klíči. Pravidla exportu byla změněna kvůli vůli občanských práv, ale z důvodu zpětné kompatibility mají moderní verze TSL a SSL stále podporu 512 bitových klíčů.
Bohužel existuje chyba v části protokolu TSL, která určuje, která délka klíče se použije. Tato chyba, LogJam, umožňuje člověku uprostřed Co je to útok člověka? Bezpečnostní žargon vysvětlil, co je to útok člověka uprostřed? Bezpečnostní žargon vysvětlil Pokud jste slyšeli o útokech typu „člověk uprostřed“, ale nejste si jisti, co to znamená, jedná se o článek pro vás. útočník přiměl oba klienty, aby si mysleli, že mluví se starým systémem, který chce použít kratší klíč. To snižuje sílu spojení a usnadňuje dešifrování komunikace. Tato chyba byla v protokolu ukryta asi dvacet let a teprve nedávno byla odhalena.
Kdo je ovlivněn?
Chyba v současné době ovlivňuje asi 8% z top jednoho milionu webů podporujících HTTPS a velké množství poštovních serverů, které mají tendenci spouštět zastaralý kód. Ovlivněny jsou všechny hlavní webové prohlížeče kromě internetového prohlížeče. Postižené weby by v horní části stránky zobrazovaly zelený zámek https, ale nebyly by zabezpečeny proti některým útočníkům.
Tvůrci prohlížečů se dohodli, že nejobsáhlejší opravou tohoto problému je odstranění veškeré starší podpory pro 512bitové klíče RSA. Bohužel to způsobí, že některá část Internetu, včetně mnoha poštovních serverů, nebude k dispozici, dokud nebude aktualizován jejich firmware. Chcete-li zkontrolovat, zda byl váš prohlížeč opraven, můžete navštívit web vytvořený bezpečnostními vědci, kteří útok objevili, na adrese slabdh.org.
Praktičnost útoku
Jak zranitelné je 512bitový klíč v těchto dnech? Abychom to zjistili, musíme se nejprve podívat na přesně to, co je napadeno. Výměna klíče Diffie-Hellman je algoritmus, který umožňuje dvěma stranám dohodnout se na sdíleném symetrickém šifrovacím klíči, aniž by je sdílela s hypotetickým snooperem. Algoritmus Diffie-Hellman se spoléhá na sdílené prvočíslo zabudované do protokolu, což určuje jeho bezpečnost. Vědci dokázali rozbít nejběžnější z těchto prvočísel během jednoho týdne, což jim umožnilo dešifrovat asi 8% internetového provozu, který byl šifrován slabším 512bitovým prvočíslem.
Tím je tento útok na dosah “útočník v kavárně” - drobný zloděj snooping na zasedáních přes veřejné WiFi 3 Nebezpečí přihlašování na veřejné Wi-Fi 3 Nebezpečí přihlašování na veřejné Wi-Fi Slyšeli jste, že byste neměli otevírat PayPal, svůj bankovní účet a možná ani svůj e-mail, zatímco pomocí veřejné WiFi. Jaká jsou však skutečná rizika? a klíče pro vynucení brutality poté, co byly získány finanční informace. Útok by byl triviální pro korporace a organizace, jako je NSA, které by mohly do značné míry postavit muže uprostřed útoku na špionáž. V každém případě to představuje důvěryhodné bezpečnostní riziko, jak pro obyčejné lidi, tak pro kohokoli, kdo by byl náchylnější k snoopingu silnějšími silami. Určitě by někdo, jako je Edward Snowden, měl být velmi opatrný při používání nezabezpečené WiFi v dohledné budoucnosti.
Více znepokojující je, že vědci také naznačují, že standardní hlavní délky, které jsou považovány za bezpečné, jako 1024bitový Diffie-Hellman, by mohly být zranitelné vůči útoku hrubou silou výkonnými vládními organizacemi. Doporučují přechod na podstatně větší velikosti klíčů, aby se tomuto problému vyhnuli.
Jsou naše data bezpečná?
Chyba LogJam je nežádoucí připomínkou nebezpečí regulace kryptografie pro účely národní bezpečnosti. Snaha o oslabení nepřátel Spojených států zranila všechny a všechny nás snížila. Přichází v době, kdy se FBI snaží přinutit technické společnosti, aby do svého šifrovacího softwaru začlenily zadní vrátka. Existuje velmi dobrá šance, že pokud vyhrají, budou důsledky pro nadcházející desetiletí stejně závažné.
Co myslíš? Měla by existovat omezení silné kryptografie? Je váš prohlížeč bezpečný proti LogJam? Dejte nám vědět v komentářích!
Obrazové kredity: US Navy Cyberwarfare, Hacker Keyboard, HTTP, NSA Sign by Wikimedia