Oglas
Roman pred kratkim se je pojavila napaka šifriranja, kar lahko ogrozi spletno zasebnost. Poimenovan "LogJam", se napaka pojavi v TSL-ju (Transport Security Layer), šifrirnem protokolu, ki se uporablja za preverjanje pristnosti strežnikov in prikrivanje vsebine varne spletne aktivnosti (kot je vaša bančna prijava).
Napaka omogoča, da napadalec napadalca prisili, da vaš brskalnik in strežnik, na katerega je povezan, uporabi šibko obliko šifriranja, ki je ranljiva za napade na silo. To je povezano z Ranljivost „FREAK“ SuperFREAK: Nova varnostna varnostna ranljivost vpliva na varnost namizja in mobilnih brskalnikovRanljivost FREAK je tista, ki vpliva na vaš brskalnik, in ni omejena na noben brskalnik niti na en sam operacijski sistem. Ugotovite, ali ste prizadeti in se zaščitite. Preberi več odkrili in zakrpali v začetku tega leta. Te hrošče se znajdejo po katastrofalnih varnostnih vprašanjih, kot so Srčno Srčno srce - kaj lahko storite, da ostanete varni? Preberi več in ShellShock Še huje od srca? Spoznajte ShellShock: Nova varnostna grožnja za OS X in Linux Preberi več .
Medtem ko popravki delujejo pri večini večjih brskalnikov, lahko popravek pusti na tisoče spletnih strežnikov nedostopnih, dokler jih ne nadgradijo s popravljeno kodo.
Vojaška zapuščina
Za razliko od večine varnostnih ranljivosti, ki so povzročene preprosto s programskim nadzorom 1.000 aplikacij za iOS ima zabrisano napako SSL: Kako preveriti, ali ste prizadetiNapaka AFNetworking povzroča težave uporabnikom iPhone in iPad, zaradi tega pa ima na tisoče aplikacij ranljivost Če so SSL potrdila pravilno overjena, kar lahko olajša krajo identitete s pomočjo človeka v sredini napadi. Preberi več , je ta ranljivost vsaj delno namerna. Še v začetku devetdesetih, ko se je začela revolucija PC-ja, je bila zvezna vlada zaskrbljena zaradi tega Izvoz močne tehnologije šifriranja v tuje sile bi lahko ogrožal njeno sposobnost vohunjenja drugih narodi. Takrat je veljala, da je močna tehnologija šifriranja pravno oblika orožja. To je omogočilo zvezni vladi, da omeji svojo distribucijo.
Kot rezultat tega je bil SSL (Secure Socket Layer, predhodnik TSL) razvit v dveh okusih - ameriška različica, podprte tipke v polni dolžini 1024 bitov ali več in mednarodna različica, ki je dopolnila 512-bitne tipke, ki so eksponentno šibkejši. Ko se dve različici različice SSL pogovarjata, se vrneta na enostavnejši 512-bitni ključ. Izvozna pravila so bila spremenjena zaradi nasprotovanja civilnih pravic, vendar zaradi združljivosti s povratno tehnologijo sodobne različice TSL in SSL še vedno podpirajo 512 bitne ključe.
Žal se v delu protokola TSL nahaja napaka, ki določa, katero dolžino ključa uporabiti. Ta napaka, LogJam, omogoča a človek v sredini Kaj je napad človeka v sredini? Pojasnjen varnostni žargonČe ste slišali za napade "človek v sredini", vendar niste povsem prepričani, kaj to pomeni, je to članek za vas. Preberi več napadalec, da bi prevaral obe stranki, da mislijo, da govorita s podedovanim sistemom, ki želi uporabiti krajši ključ. To poslabša trdnost povezave in olajša dešifriranje komunikacije. Ta hrošč se skriva v protokolu že približno dvajset let, odkrit pa je bil šele pred kratkim.
Kdo je prizadet?
Napaka trenutno prizadene približno 8% najboljših milijon spletnih mest, ki podpirajo HTTPS, in veliko število poštnih strežnikov, ki ponavadi zastarajo. Prizadeti so vsi večji spletni brskalniki, razen Internet Explorerja. Prizadeta spletna mesta bi na vrhu strani pokazala zeleno ključavnico https, vendar ne bi bila zaščitena pred nekaterimi napadalci.
Izdelovalci brskalnikov so se strinjali, da je najbolj težaven odpraviti to težavo, da odstranite vso podedovano podporo za 512-bitne ključe RSA. Žal se bo to upodobilo del interneta, vključno s številnimi poštnimi strežniki, ki niso na voljo, dokler se ne posodobi njihova programska oprema. Če želite preveriti, ali je bil vaš brskalnik zakrpan, lahko obiščete spletno mesto, ki so ga ustanovili varnostni raziskovalci, ki so napad odkrili slabdh.org.
Napadajoča praktičnost
Kako ranljivi smo je 512-bitni ključ v teh dneh, sploh? Če želite to ugotoviti, moramo najprej natančno pogledati, kaj napadajo. Izmenjava ključev Diffie-Hellman je algoritem, ki se dvema strankama omogoči, da se dogovorita o deljenem simetričnem šifrirnem ključu, ne da bi ga delili s hipotetičnim poniževalcem. Algoritem Diffie-Hellman temelji na deljenem primarnem številu, vgrajenem v protokol, ki narekuje njegovo varnost. Raziskovalci so lahko v enem tednu zrušili najpogostejše od teh primerov, kar jim je omogočilo dešifriranje približno 8% internetnega prometa, šifriranega s šibkejšim 512-bitnim primerom.
Zaradi tega je ta napad nedosegljiv "napadalcem iz kavarne" - sitnemu tatvu drsanje na sejah prek javnega WiFi 3 nevarnosti prijave v javni Wi-FiSlišali ste, da med uporabo javnega WiFi ne smete odpirati PayPala, svojega bančnega računa in morda celo e-pošte. Toda kakšna so dejanska tveganja? Preberi več ter ključe za prisiljevanje, da poberejo finančne podatke. Napad bi bil nepomemben za korporacije in organizacije, kot je NSA, ki bi lahko šle v veliko dolžino, da bi postavile moškega v srednji napad zaradi vohunjenja. Kakor koli že, to resnično predstavlja resno varnostno tveganje, tako za navadne ljudi kot za vse, ki bi bili lahko ranljivi zaradi pobega s strani močnejših sil. Zagotovo bi moral biti nekdo, kot je Edward Snowden, zelo previden pri uporabi nezavarovanega WiFi-ja za dogledno prihodnost.
Bolj zaskrbljujoče je, da raziskovalci predlagajo tudi, da se standardne dolžine, ki veljajo za varne, kot 1024-bitni Diffie-Hellman, bi bil lahko ranljiv za brutalne napade močne vlade organizacije. Predlagajo selitev na bistveno večje velikosti ključev, da se izognete tej težavi.
Ali so naši podatki varni?
Hrošč LogJam je nezaželen opomnik na nevarnosti urejanja kriptografije za namene nacionalne varnosti. Prizadevanje, da oslabimo sovražnike ZDA, je povzročilo škodo vsem in vse nas je manj varno. Prihaja v času, ko si FBI prizadeva prisiliti tehnološka podjetja k temu vključite zaklon v svojo programsko opremo za šifriranje. Obstaja zelo dobra možnost, da če bodo zmagali, bodo posledice za prihodnja desetletja prav tako resne.
Kaj misliš? Bi morale obstajati omejitve za močno kriptografijo? Ali je vaš brskalnik varen pred LogJam? Sporočite nam v komentarjih!
Slikovni sliki: Kibernetska vojna ZDA, Tipkovnica za hekerje, HTTP, Znak NSA avtor Wikimedije
Andre je pisatelj in novinar s jugozahoda zajamčeno, da bo ostal funkcionalen do 50 stopinj Celzija in je vodoodporen do globine dvanajst metrov.
