Reklāma
Novele šifrēšanas kļūda ir parādījusies nesen, kas varētu radīt draudus tiešsaistes privātumam. Dublēta par “LogJam”, kļūda rodas TSL (transporta drošības slānis) - šifrēšanas protokolā, ko izmanto serveru autentificēšanai un drošu tīmekļa darbību (piemēram, bankas pieteikšanās) slēpšanai.
Kļūda ļauj vidējam uzbrucējam piespiest jūsu pārlūkprogrammu un serveri, ar kuru tas ir savienots, izmantot vāju šifrēšanas formu, kas ir neaizsargāta pret brutāla spēka uzbrukumiem. Tas ir saistīts ar “FREAK” ievainojamība SuperFREAK: jauna drošības kļūda, ievainojamība, ietekmē darbvirsmu un mobilo pārlūku drošībuFREAK ievainojamība ietekmē jūsu pārlūkprogrammu, un tā nav ierobežota ne ar vienu pārlūku, ne ar vienu operētājsistēmu. Uzziniet, vai jūs ietekmē, un pasargājiet sevi. Lasīt vairāk atklāts un izlabots šī gada sākumā. Šīs kļūdas rodas uz tādiem katastrofālākiem drošības jautājumiem kā Sirdspuksti Sirdsdarbība - ko jūs varat darīt, lai saglabātu drošību? Lasīt vairāk un ShellShock Sliktāk nekā sirds? Iepazīstieties ar ShellShock: jauns drošības drauds OS X un Linux Lasīt vairāk
.
Lai gan vairumam lielāko pārlūku tiek izmantoti ielāpi, labojums tūkstošiem tīmekļa serveru var būt nepieejams, līdz tie tiek jaunināti ar labotu kodu.
Militārais mantojums
Atšķirībā no vairuma radīto drošības ievainojamību vienkārši programmētāja uzraudzībā 1000 iOS lietotnēs ir kropļojoša SSL kļūda: kā pārbaudīt, vai esat ietekmētsAFNetworking kļūda rada problēmas iPhone un iPad lietotājiem, jo tūkstošiem lietotņu rada ievainojamību Pareizi autentificēti SSL sertifikāti, kas, iespējams, atvieglo identitātes zādzību caur cilvēku-vidū uzbrukumiem. Lasīt vairāk , šī ievainojamība vismaz daļēji ir tīša. Deviņdesmito gadu sākumā, kad sākās personālo datoru revolūcija, federālajai valdībai bija bažas, ka spēcīgas šifrēšanas tehnoloģijas eksports uz ārvalstu var apdraudēt tās spēju izspiegot citas nācijas. Tajā laikā spēcīgu šifrēšanas tehnoloģiju juridiski uzskatīja par ieroču veidu. Tas ļāva federālajai valdībai ierobežot tās izplatīšanu.
Tā rezultātā, kad tika izstrādāts SSL (Secure Socket Layer, TSL priekšgājējs), tas tika izstrādāts divos veidos - ASV versijā, kas atbalstīti pilna garuma taustiņi, 1024 biti vai lielāki, un starptautiskā versija, kas papildināta ar 512 bitu taustiņiem, kuri ir eksponenciāli vājāka. Kad sarunājas divas dažādas SSL versijas, tās atgriežas pie vieglāk salaužamās 512 bitu atslēgas. Eksporta noteikumi tika mainīti, ņemot vērā civilo tiesību pretstatu, taču savietojamības apsvērumu dēļ mūsdienu TSL un SSL versijas joprojām atbalsta 512 bitu atslēgas.
Diemžēl TSL protokola daļā ir kļūda, kas nosaka izmantojamo atslēgas garumu. Šī kļūda, LogJam, ļauj: cilvēks-pa vidu Kas ir uzbrukums vīrietim? Drošības žargons paskaidrotsJa esat dzirdējis par uzbrukumiem “vidusdaļā”, bet neesat pārliecināts, ko tas nozīmē, šis ir raksts jums. Lasīt vairāk uzbrucējs, lai pievilinātu abus klientus domāt, ka viņi runā ar mantoto sistēmu, kas vēlas izmantot īsāku taustiņu. Tas pasliktina savienojuma stiprumu un atvieglo saziņas atšifrēšanu. Šī kļūda protokolā ir paslēpta apmēram divdesmit gadus, un tikai nesen tā tika atklāta.
Kas tiek ietekmēts?
Kļūda pašlaik ietekmē apmēram 8% no miljoniem populārāko vietņu, kurās ir iespējots HTTPS, un lielu skaitu pasta serveru, kuriem parasti ir novecojis kods. Tiek ietekmētas visas galvenās tīmekļa pārlūkprogrammas, izņemot Internet Explorer. Ietekmētās vietnes lapas augšdaļā parādīs zaļo https bloķēšanu, taču tās nebūs drošas pret dažiem uzbrucējiem.
Pārlūkprogrammu veidotāji ir vienojušies, ka visdrošākais šīs problēmas risinājums ir noņemt visu mantoto atbalstu 512 bitu RSA taustiņiem. Diemžēl tas tiks darīts kāda interneta daļa, ieskaitot daudzus pasta serverus, kas nav pieejami, kamēr nav atjaunināta viņu programmaparatūra. Lai pārbaudītu, vai jūsu pārlūkprogramma nav ielāpota, varat apmeklēt vietni, kuru izveidojuši drošības pētnieki, kuri atklāja uzbrukumu, vietnē vājšh.org.
Uzbrukuma praktiskums
Cik neaizsargāti ir 512 bitu atslēga šajās dienās, jebkurā gadījumā? Lai to uzzinātu, mums vispirms ir jāskatās, kam tieši uzbrūk. Difija-Helmaņa atslēgu apmaiņa ir algoritms, ko izmanto, lai divas puses varētu vienoties par kopīgu simetrisko šifrēšanas atslēgu, nedaloties tajā ar hipotētisku snooperu. Difija-Helmaņa algoritms balstās uz kopīgu sākotnējo skaitli, kas iebūvēts protokolā, un tas diktē tā drošību. Pētnieki vienas nedēļas laikā spēja uzlauzt visizplatītāko no šiem primamiem, ļaujot tiem atšifrēt apmēram 8% interneta trafika, kas tika šifrēts ar vājāko 512 bitu galveno.
Tas ļauj šo uzbrukumu sasniegt “kafejnīcas uzbrucējam” - sīkam zaglim snooping sesijās, izmantojot publisko WiFi 3 Sabiedriskā Wi-Fi pieslēgšanās briesmasJūs esat dzirdējuši, ka, izmantojot publisko WiFi, nevajadzētu atvērt PayPal, savu bankas kontu un, iespējams, pat e-pastu. Bet kādi ir faktiskie riski? Lasīt vairāk un nežēlīgas piespiešanas atslēgas pēc fakta, lai atgūtu finanšu informāciju. Uzbrukums būtu niecīgs tādām korporācijām un organizācijām kā NSA, kuras varētu būt garas, lai izveidotu cilvēku vidējā uzbrukumā spiegošanai. Katrā ziņā tas nozīmē ticamu drošības risku gan parastajiem cilvēkiem, gan ikvienam, kuru varētu ietekmēt neaizsargātāki spēki. Noteikti kādam, piemēram, Edvardam Snodenam, jābūt ļoti uzmanīgam, izmantojot drošu WiFi drošā nākotnē.
Vēl satraucošāk, pētnieki arī ierosina, ka standarta garums, kas tiek uzskatīts par drošu, tāpat kā 1024 bitu diffeja-hellmane, varētu būt neaizsargāta pret spēcīgas valdības brutālu spēku uzbrukumu organizācijas. Viņi iesaka pāriet uz ievērojami lielākiem taustiņu izmēriem, lai izvairītos no šīs problēmas.
Vai mūsu dati ir droši?
LogJam kļūda ir nevēlams atgādinājums par briesmām, kas saistītas ar kriptogrāfijas regulēšanu valsts drošības nolūkos. Centieni vājināt Amerikas Savienoto Valstu ienaidniekus ir sāpinājuši visus un padarījuši mūs visus mazāk drošus. Tas nāk laikā, kad FBI cenšas piespiest tehnoloģiju uzņēmumus savā šifrēšanas programmatūrā iekļaut aizmugurējās durvis. Ir ļoti liela iespēja, ka, ja viņi uzvarēs, sekas nākamajām desmitgadēm būs tikpat nopietnas.
Ko tu domā? Vai spēcīgajai kriptogrāfijai vajadzētu būt ierobežojumiem? Vai jūsu pārlūkprogramma ir droša pret LogJam? Paziņojiet mums komentāros!
Attēlu kredīti: ASV Jūras spēku kiberkarš, Hacker tastatūra, HTTP, NVD zīme Autors: Wikimedia
Rakstnieks un žurnālists, kas atrodas dienvidrietumos, Andre ir garantēts, ka tas joprojām darbosies līdz 50 grādiem pēc Celsija un ir ūdensizturīgs līdz divpadsmit pēdu dziļumam.
