Oglas
Roman bug enkripcije nedavno se pojavio, što može predstavljati prijetnju privatnosti na mreži. Pod nazivom "LogJam", greška se javlja u TSL-u (Transport Security Layer), protokolu šifriranja koji se koristi za provjeru autentičnosti poslužitelja i prikrivanje sadržaja sigurne web aktivnosti (poput vaše prijave u banci).
Bug omogućava napadaču čovjeka u sredini da prisili vaš preglednik i poslužitelj na koji je povezan, da koristi slab oblik šifriranja koji je podložan napadima grube sile. Ovo je povezano s 'FREAK' ranjivost SuperFREAK: Nova sigurnosna ugroženost utječe na sigurnost radnog stola i preglednikaRanjivost FREAK utječe na vaš preglednik i nije ograničena na jedan preglednik, niti na jedan operativni sustav. Otkrijte da li ste pogođeni i zaštitite se. Čitaj više otkriven i zakrpljen ranije ove godine. Ove bube dolaze u obzir još katastrofalnih sigurnosnih pitanja Heartbleed Srčano srce - što možete učiniti da ostanete sigurni? Čitaj više i Potres mozga Još gore od srca? Upoznajte ShellShock: Nova prijetnja sigurnosti za OS X i Linux Čitaj više .
Iako su zakrpe u tijeku za većinu glavnih preglednika, ispravka može ostaviti hiljade web-poslužitelja nedostupnima dok ih ne nadograde ispravljenim kodom.
Vojna ostavština
Za razliku od većine sigurnosnih ranjivosti koje su uzrokovane jednostavno nadzorom programera 1.000 iOS aplikacija ima opustošnu SSL bug: kako provjeriti jesu li pogođeniGreška u AFNetworkingu stvara probleme s korisnicima iPhonea i iPada, a 1000 tisuća aplikacija ima ranjivost Bez ispravne provjere autentičnosti SSL certifikata, što potencijalno olakšava krađu identiteta putem čovjeka u sredini napadi. Čitaj više , ta je ranjivost barem djelomično namjerna. Još u ranim 1990-ima, kada je započela revolucija PC-a, savezna vlada bila je zabrinuta zbog toga Izvoz snažne tehnologije šifriranja stranih sila mogao bi ugroziti njegovu sposobnost da špijunira druge narodi. U to se vrijeme snažna tehnologija šifriranja smatrala, pravno, oblikom naoružanja. To je saveznoj vladi omogućilo da ograniči svoju distribuciju.
Kao rezultat toga, kada je razvijen SSL (Secure Socket Layer, prethodnik TSL-a), razvijen je u dva ukusa - u američkoj verziji, podržane tipke u punoj duljini od 1024 bita ili veće i internacionalna verzija koja je nadvladala 512-bitne tipke, koje su eksponencijalno slabiji. Kad dvije različite verzije SSL-a razgovaraju, vraćaju se na lakše razbijeni 512-bitni ključ. Izvozna pravila izmijenjena su zbog odstupanja od građanskih prava, ali iz razloga kompatibilnosti s unazadom, suvremene verzije TSL-a i SSL-a još uvijek imaju podršku za 512 bitne ključeve.
Nažalost, postoji dio greške u dijelu TSL protokola koji određuje koju duljinu ključa koristiti. Ovu grešku, LogJam, omogućuje čovjek-in-the-middle Što je napad Čovjeka u sredini? Objasnio sigurnosni žargonAko ste čuli za napade "čovjeka u sredini", ali niste baš sigurni što to znači, ovo je članak za vas. Čitaj više napadač kako bi prevario oba klijenta kako misle da razgovaraju sa naslijeđenim sustavom koji želi koristiti kraći ključ. To degradira snagu veze i olakšava dešifriranje komunikacije. Taj je bug skriven u protokolu već dvadesetak godina, a tek je nedavno otkriven.
Tko je pogođen?
Aplikacija trenutno utječe na oko 8% prvih milijun web-lokacija s HTTPS-om i velik broj poslužitelja e-pošte koji imaju zastarjeli kôd. Svi su značajniji web preglednici pogođeni osim Internet Explorera. Pogođene web stranice pokazale bi zelenu https bravu na vrhu stranice, ali ne bi bile sigurne protiv nekih napadača.
Proizvođači preglednika složili su se da je najsnažnije rješenje ovog problema ukloniti svu staru podršku za 512-bitne RSA ključeve. Nažalost, to će se pokazati neki dio Interneta, uključujući mnoge poslužitelje pošte, nedostupni sve dok njihov ažurirani softver nije ažuriran. Da biste provjerili je li vaš preglednik zakrpljen, možete posjetiti web mjesto koje su postavili istraživači sigurnosti koji su otkrili napad weakdh.org.
Napad praktičnost
Pa kako ranjivi je 512-bitni ključ ovih dana, uopće? Da bismo to otkrili, prvo moramo pogledati što točno napada. Diffie-Hellmanova razmjena ključeva je algoritam koji se koristi kako bi se omogućilo da dvije strane dogovore zajednički simetrični ključ za enkripciju, bez da ga dijele s hipotetičkim snooperom. Algoritam Diffie-Hellman oslanja se na zajednički primarni broj ugrađen u protokol koji diktira njegovu sigurnost. Istraživači su uspjeli razbiti najčešće ove primjene u roku od tjedan dana, što im je omogućilo da dešifriraju oko 8% internetskog prometa koji je šifriran sa slabijim 512-bitnim prahom.
Ovo ovaj napad stavlja na dohvat ruke "napadača iz kafića" - sitnog lopova preskakanje sjednica putem javnog WiFi-a 3 opasnosti od prijave na javni Wi-FiČuli ste da ne biste trebali otvarati PayPal, svoj bankovni račun i možda čak ni svoju e-poštu dok koristite javni WiFi. Ali koji su stvarni rizici? Čitaj više i ključeve za prisiljavanje prijevara nakon činjenice da bi se povratili financijski podaci. Napad bi bio trivijalan za korporacije i organizacije poput NSA-e, koji bi mogli uložiti velike mjere da postave čovjeka u srednjem napadu za špijunažu. U svakom slučaju, to predstavlja vjerodostojan sigurnosni rizik, kako za obične ljude, tako i za sve one koji mogu biti ranjivi na preskakanje snažnijih snaga. Dakako, netko poput Edwarda Snowdena trebao bi biti vrlo oprezan oko korištenja nesigurnog WiFi-ja za doglednu budućnost.
Što je još više zabrinjava, istraživači također sugeriraju da se uobičajene dužine koje se smatraju sigurnim, poput 1024-bitnog Diffie-Hellmana, mogao bi biti ranjiv na brutalne napade od strane moćne vlade organizacijama. Predlažu prelazak na znatno veće veličine ključa kako bi se izbjegao ovaj problem.
Jesu li naši podaci sigurni?
Greška LogJam nepoželjan je podsjetnik na opasnosti od reguliranja kriptografije u svrhu nacionalne sigurnosti. Napori da oslabimo neprijatelje Sjedinjenih Država su naštetili svima, a sve nas učinili manje sigurnima. Dolazi u vrijeme kada FBI ulaže napore da prisili tehnološke kompanije na uključuju pozadinu u svoj softver za šifriranje. Postoji velika vjerojatnost da ako pobijede, posljedice za naredna desetljeća bit će jednako ozbiljne.
Što misliš? Treba li postojati ograničenje jake kriptografije? Je li vaš preglednik siguran od LogJam-a? Javite nam u komentarima!
Broj kredita: Cyberwarfare američke mornarice, Tipkovnica hakera, HTTP, NSA znak autor Wikimedia
Pisac i novinar sa sjedišta na jugozapadu, Andre je zajamčeno da će ostati funkcionalan do 50 Celzijevih stupnjeva, a vodootporan je do dubine od dvanaest metara.
