Реклама

Роман буг енкрипције недавно се појавио, што може представљати опасност за приватност на мрежи. Под називом "ЛогЈам", грешка се јавља у ТСЛ-у (Транспорт Сецурити Лаиер), протоколу шифрирања који се користи за аутентификацију сервера и прикривање садржаја сигурне веб активности (попут ваше пријаве за банку).

Грешка омогућава нападачу који је у средини да примора ваш претраживач и сервер на који је повезан, да користи слаб облик шифровања који је рањив на нападе бруталним силама. Ово је повезано са „ФРЕАК“ рањивост СуперФРЕАК: Нова сигурносна рањивост утиче на сигурност радног стола и мобилних прегледачаРањивост ФРЕАК је она која утиче на ваш претраживач и није ограничена на један претраживач, нити на један оперативни систем. Сазнајте да ли сте погођени и заштитите се. Опширније откривен и закрпљен раније ове године. Ове грешке долазе за петама још катастрофалних безбедносних питања Хеартблеед Срчано срце - шта можете учинити да останете сигурни? Опширније и Контузија Још горе од срца? Упознајте СхеллСхоцк: Нова пријетња сигурности за ОС Кс и Линук Опширније .

954пк-Интернет1

Док закрпе раде у већини главних прегледача, исправка може оставити хиљаде веб-сервера недоступнима док их не надограде исправљеним кодом.

Војна заоставштина

За разлику од већине сигурносних рањивости, које су изазване једноставно надгледањем програмера 1.000 иОС апликација има очаравајућу ССЛ грешку: Како проверити да ли сте погођениГрешка у АФНетворкингу ствара проблеме корисницима иПхоне-а и иПад-а, а 1000 хиљада апликација носе рањивост Без исправне овере ССЛ сертификата, што потенцијално олакшава крађу идентитета путем човека у средини напада. Опширније , та је рањивост бар делимично намерна. Још почетком деведесетих, када је започела револуција рачунара, савезна влада је била забринута због тога извоз снажне технологије шифрирања у стране државе могао би угрозити његову способност да шпијунира друге нације. У то се време снажна технологија шифрирања сматрала да је, на закону, облик наоружања. То је савезној влади омогућило да ограничи своју дистрибуцију.

Као резултат тога, када је развијен ССЛ (Сецуре Соцкет Лаиер, претходник ТСЛ-а), развијен је у два укуса - америчкој верзији, која подржани тастери у пуној дужини од 1024 бита или веће и међународна верзија, која се надовезује на 512-битне тастере, који су експоненцијално слабији. Кад двије различите верзије ССЛ-а разговарају, враћају се на лакше сломљени 512-битни кључ. Правила извоза измењена су због одступања од грађанских права, али из разлога компатибилности са назад, модерне верзије ТСЛ-а и ССЛ-а још увек имају подршку за 512 битне тастере.

081203-Н-2147Л-390

Нажалост, постоји део грешке у делу протокола ТСЛ који одређује дужину кључа коју треба користити. Ова грешка, ЛогЈам, омогућава Човек у средини Шта је напад човека у средини? Објашњен сигурносни жаргонАко сте чули за нападе "човека у средини", али нисте баш сигурни шта то значи, ово је чланак за вас. Опширније нападач да би преварио оба клијента да мисле како разговарају са наслијеђеним системом који жели да користи краћи тастер. То деградира снагу везе и олакшава дешифровање комуникације. Ова грешка је скривена у протоколу већ двадесетак година, а тек је недавно откривена.

Ко је погођен?

Апликација тренутно погађа око 8% најпопуларнијих веб локација са ХТТПС и великим бројем поштанских сервера који имају застарели код. Сви главни претраживачи су погођени осим Интернет Екплорера. Погођене веб странице приказале би зелену хттпс браву на врху странице, али не би биле сигурне против неких нападача.

Произвођачи прегледача сложили су се да је најснажније решење за овај проблем уклонити сву стару подршку за 512-битне РСА кључеве. Назалост, ово це постати неки део Интернета, укључујући многе сервере поште, недоступни док се њихов фирмвер не ажурира. Да бисте проверили да ли вам је прегледач закрпљен, можете посетити веб локацију коју су поставили истраживачи безбедности који су открили напад слабдх.орг.

Нападачка практичност

Па како рањиви је 512-битни кључ ових дана, додуше? Да бисмо то сазнали, прво морамо погледати шта тачно напада. Диффие-Хеллманова размена кључева је алгоритам који се користи да се две стране договоре о дељеном симетричном кључу за шифровање, а да их не дели са хипотетичким сноопером. Диффие-Хеллман алгоритам ослања се на дељени примарни број, уграђен у протокол, који диктира његову сигурност. Истраживачи су успели да пробију најчешће ове примере у року од једне недеље, што им је омогућило да дешифрују око 8% интернет саобраћаја који је шифрован са слабијим 512-битним примером.

Ово овај напад ставља на дохват руке "нападача из кафића" - ситног лопова прескакање сесија путем јавног ВиФи-а 3 опасности од пријаве на јавни Ви-ФиЧули сте да не бисте требали да отварате ПаиПал, свој банковни рачун и, можда, чак ни е-пошту, док користите јавни ВиФи. Али који су стварни ризици? Опширније и кључеве за присиљавање грубих после чињенице да би се повратили финансијски подаци. Напад би био тривилан за корпорације и организације попут НСА, које би могле у великој мери да поставе човека у средњем нападу за шпијунажу. Било како било, ово заиста представља вјеродостојан сигурносни ризик, како за обичне људе, тако и за све који могу бити рањиви на крцање јачим силама. Свакако, неко попут Едварда Сновдена требао би бити врло опрезан када користи неосигурани ВиФи за догледну будућност.

640пк-бацклит_кеибоард (1)

Забрињавајуће је да истраживачи такође предлажу да се стандардне дужине које се сматрају сигурним, попут 1024-битног Диффие-Хеллмана, могао би бити рањив на бруталне нападе од стране моћне владе организације. Предлажу прелазак на битно веће величине кључева како би се избегао овај проблем.

Да ли су наши подаци безбедни?

640пк-Нса_сигн

Грешка ЛогЈам је непожељан подсетник на опасности од регулисања криптографије у сврху националне безбедности. Напори да ослабимо непријатеље Сједињених Држава су наштетили свима, а све нас учинили мање безбедним. Долази у време када ФБИ улаже напоре да присили технолошке компаније на то укључују позадину у свој софтвер за шифровање. Постоји веома добра шанса да ако победе, последице за наредне деценије буду једнако озбиљне.

Шта ти мислиш? Да ли би требало да постоје ограничења за јаку криптографију? Да ли је ваш претраживач безбедан од ЛогЈам-а? Јавите нам у коментарима!

Број кредита: Циберварфаре америчке морнарице, Хацкер Кеибоард, ХТТП, НСА Сигн аутор: Викимедиа

Писац и новинар са северозапада, Андре је загарантовано да ће остати функционалан до 50 степени Целзијуса, а водоотпоран је до дубине од дванаест стопа.