Reklaam
Novell krüptimisviga on viimasel ajal üles kerkinud, mis võib ohustada veebipõhist privaatsust. „LogJamiks” nimetatud viga ilmneb TSL-is (transpordi turvalisuse kihis) - krüpteerimisprotokollis, mida kasutatakse serverite autentimiseks ja turvalise veebitegevuse sisu varjamiseks (nagu teie panga sisselogimine).
Viga võimaldab ründajal, kes on keskel, sundida teie brauserit ja serverit, millega ta on ühendatud, kasutama nõrka krüptimisvormi, mis on tundmatu julma jõu rünnakute suhtes. See on seotud „FREAK” haavatavus SuperFREAK: uus turvaviga haavatavus mõjutab lauaarvuti ja mobiilibrauseri turvalisustFREAK haavatavus mõjutab teie brauserit ja see pole piiratud ühe brauseri ega ühegi opsüsteemiga. Uurige, kas olete mõjutatud, ja kaitske ennast. Loe rohkem avastatud ja paika pandud selle aasta alguses. Need vead on seotud selliste katastroofilistemate julgeolekuküsimustega nagu näiteks Südamega Südameveeb - mida saate teha, et turvaliselt püsida? Loe rohkem ja ShellShock Halvem kui südamelöök? Tutvuge ShellShockiga: uus turvarisk OS X-i ja Linuxi jaoks Loe rohkem .
Kuigi enamiku suuremate brauserite töös on plaastrid, võib parandus jätta tuhanded veebiserverid ligipääsmatuks, kuni neid täiendatakse parandatud koodiga.
Sõjaline pärand
Erinevalt enamikust põhjustatud turvaaukudest lihtsalt programmeerija järelevalve all 1000 iOS-i rakenduses on halvustavat SSL-i viga: kuidas kontrollida, kas olete mõjutatudAFNetworkingu tõrge tekitab iPhone'i ja iPadi kasutajatele probleeme, kuna 1000 rakendust kannavad haavatavust SSL-sertifikaatide korrektne autentimine, mis hõlbustab identiteedivargusi keset inimest rünnakud. Loe rohkem , on see haavatavus vähemalt osaliselt tahtlik. 1990ndate alguses, kui algas PC-revolutsioon, tundis föderaalvalitsus muret, et tugeva krüptimistehnoloogia eksport välisriikidesse võib kahjustada selle võimet luurata teisi rahvad. Sel ajal peeti tugevat krüptimistehnoloogiat juriidiliselt relvavormiks. See võimaldas föderaalvalitsusel seada piiranguid selle levitamisele.
Selle tulemusel töötati SSL-i (turvalise sokli kiht, TSL-i eelkäija) väljatöötamisel välja kaks maitset - USA versioon, mis toetatud täispikad võtmed, mis on 1024 bitti või suuremad, ja rahvusvaheline versioon, mis ületas 512-bitiseid võtmeid, mis on plahvatuslikult nõrgem. Kui kaks erinevat SSL-versiooni räägivad, langevad nad tagasi kergemini puruneva 512-bitise võtme juurde. Ekspordieeskirju muudeti tsiviilõiguste tagasilöögi tõttu, kuid tagurpidi ühilduvuse huvides toetavad TSL ja SSL tänapäevased versioonid endiselt 512 bitiseid võtmeid.
Kahjuks on TSL-i protokolli osas viga, mis määrab, millist võtme pikkust kasutada. See viga, LogJam, võimaldab a keskel Mis on rünnak keskel? Turvalisuse žargoon selgitatudKui olete kuulnud keskeltläbi rünnakutest, kuid pole päris kindel, mida see tähendab, on see artikkel teile mõeldud. Loe rohkem ründaja, et meelitada mõlemat klienti mõtlema, et nad räägivad pärandsüsteemiga, mis soovib kasutada lühemat klahvi. See halvendab ühenduse tugevust ja hõlbustab ühenduse dekrüptimist. Seda viga on protokollis peidetud umbes kakskümmend aastat ja see on alles hiljuti avastatud.
Keda mõjutatakse?
Viga mõjutab praegu umbes 8% miljonist populaarseimast HTTPS-toega veebisaidist ja paljudest meiliserveritest, millel on tavaliselt aegunud kood. See puudutab kõiki peamisi veebibrausereid, välja arvatud Internet Explorer. Mõjutatud veebisaitidel oleks lehe ülaosas roheline https-lukk, kuid see poleks mõne ründaja vastu turvaline.
Brauseritootjad on kokku leppinud, et selle probleemi kõige kindlam lahendus on 512-bitiste RSA-võtmete päranditoe eemaldamine. Kahjuks see muutub mingi osa Internetist, sealhulgas paljud meiliserverid, pole saadaval kuni nende püsivara värskendamiseni. Teie brauseri paigalduse kontrollimiseks võite külastada saiti, mille rünnaku avastanud turvateadlased on üles seadnud, aadressil nõrkhh.org.
Rünnaku praktilisus
Niisiis, kui haavatav on 512-bitine võti on tänapäeval ikkagi? Selle teada saamiseks peame kõigepealt uurima, mida täpselt rünnatakse. Diffie-Hellmani võtmevahetus on algoritm, mida kasutatakse kahel osapoolel kokkuleppel ühises sümmeetrilises krüptimisvõtmes, ilma et seda hüpoteetilise snooperiga jagataks. Diffie-Hellmani algoritm tugineb protokolli sisseehitatud ühisele algarvule, mis dikteerib selle turvalisuse. Teadlased suutsid kõige tavalisematest primaaridest ühe nädala jooksul lahti murda, võimaldades neil dekrüpteerida umbes 8% Interneti-liiklusest, mis oli krüpteeritud nõrgema 512-bitise primaariga.
See annab selle rünnaku käeulatusse kohvikute ründajale - väikesele vargale seansside nuusutamine avaliku WiFi kaudu 3 Avalikku WiFi-sse sisselogimise ohtOlete kuulnud, et avaliku WiFi kasutamise ajal ei tohiks te PayPali, oma pangakontot ja võib-olla isegi oma e-posti avada. Millised on tegelikud riskid? Loe rohkem ja pärast finantsteabe taastamist sunniviisilised võtmed. Rünnak oleks triviaalne korporatsioonide ja NSA-ga sarnaste organisatsioonide jaoks, kes võivad kesta keskmises rünnakus mehe spionaažiks püstitamiseks palju aega. Mõlemal juhul kujutab see endast tõsist turvariski nii tavalistele inimestele kui ka kõigile, kes võivad olla haavatavamad võimsamate jõudude snoobimise all. Kindlasti peaks keegi Edward Snowdeni sugune olema väga ettevaatlik turvamata WiFi kasutamisel ähvardavas tulevikus.
Veel murettekitavam on, et teadlased soovitavad ka turvaliseks peetavate standardsete pikkuste kasutamist, nagu 1024-bitine Diffie-Hellman, võib olla haavatav võimsa valitsuse vägivaldse rünnaku suhtes organisatsioonid. Selle probleemi vältimiseks soovitavad nad üle minna oluliselt suurematele võtmesuurustele.
Kas meie andmed on turvalised?
LogJami viga on soovimatu meeldetuletus ohtudest, mis on seotud krüptograafia reguleerimisega riikliku julgeoleku huvides. Püüd Ameerika Ühendriikide vaenlasi nõrgestada on teinud kõigile haiget ja muutnud meid kõiki vähem turvaliseks. See tuleb ajal, mil FBI teeb jõupingutusi, et sundida tehnikaettevõtteid üles lisada tagauksed nende krüptimistarkvarasse. On väga hea võimalus, et kui nad võidavad, on tagajärjed järgmisteks aastakümneteks sama tõsised.
Mida sa arvad? Kas tugevale krüptograafiale peaks olema piiranguid? Kas teie brauser on LogJami vastu turvaline? Andke meile kommentaarides teada!
Pildikrediidid: USA mereväe kübersõda, Häkkerite klaviatuur, HTTP, NSA märk autor Wikimedia
Edelaosas asuv kirjanik ja ajakirjanik tagab Andrele funktsionaalsuse kuni 50 kraadi Celsiuse järgi ja on veekindel kuni kaheteistkümne jala sügavusele.
