Skelbimas
Novelė šifravimo klaida atsirado neseniai, kuris gali kelti grėsmę internetiniam privatumui. „LogJam“ pavadinta klaida įvyksta TSL (transporto saugos sluoksnyje) - šifravimo protokole, naudojamame serverių autentifikavimui ir saugaus žiniatinklio veiklos turinio slėpimui (pvz., Jūsų banko prisijungimui).
Dėl klaidos vidurio puolėjas gali priversti jūsų naršyklę ir serverį, prie kurio jis yra prijungtas, naudoti silpną šifravimo formą, kuri yra pažeidžiama brutalios jėgos išpuolių. Tai susiję su „FREAK“ pažeidžiamumas „SuperFREAK“: naujas saugos klaidos pažeidžiamumas paveikia darbalaukio ir mobiliųjų įrenginių naršyklių saugą„FREAK“ pažeidžiamumas turi įtakos jūsų naršyklei, ir jis neapsiriboja nei viena naršykle, nei viena operacine sistema. Sužinokite, ar esate paveikti, ir apsisaugokite. Skaityti daugiau atrastas ir pataisytas šių metų pradžioje. Šios klaidos kyla dėl katastrofiškesnių saugumo klausimų, tokių kaip Širdis Širdies plakimas - ką galite padaryti, kad išliktumėte saugūs? Skaityti daugiau
ir „ShellShock“ Blogiau nei širdgėla? Susipažinkite su „ShellShock“: nauja saugumo grėsmė „OS X“ ir „Linux“ Skaityti daugiau .
Nors pataisos yra daugumos pagrindinių naršyklių darbuose, pataisymas gali palikti tūkstančius žiniatinklio serverių neprieinamus, kol jie nebus atnaujinti naudojant ištaisytą kodą.
Karinis palikimas
Skirtingai nuo daugelio su tuo susijusių pažeidžiamumų tiesiog prižiūrint programuotojui 1 000 „iOS“ programų turi „Crippling SSL“ klaidą: kaip patikrinti, ar esate paveiktiDėl „AFNetworking“ klaidos kyla problemų „iPhone“ ir „iPad“ vartotojams, nes tūkstančiai programų turi pažeidžiamumą Teisingas SSL sertifikatų autentifikavimas - tai gali palengvinti tapatybės vagystę per „viduryje žmogaus“ išpuoliai. Skaityti daugiau , šis pažeidžiamumas bent jau iš dalies yra tyčinis. Dešimtojo dešimtmečio pradžioje, kai vyko PC revoliucija, federalinei vyriausybei rūpėjo, kad stiprios šifravimo technologijos eksportas į užsienio valstybes galėtų pakenkti jos galimybėms šnipinėti kitas tautos. Tuo metu stipri šifravimo technologija teisiškai buvo laikoma ginklų forma. Tai leido federalinei vyriausybei apriboti jos platinimą.
Dėl to, kai buvo sukurtas SSL (saugus lizdo sluoksnis, TSL pirmtakas), jis buvo plėtojamas dviem būdais - JAV versija, kuri palaikomi viso ilgio 1024 bitų ar didesni raktai ir tarptautinė versija, kurios viršuje yra 512 bitų raktai, kurie yra eksponentiškai silpnesnis. Kai dvi skirtingos SSL versijos kalba, jos grįžta prie lengviau sulaužomo 512 bitų rakto. Eksportavimo taisyklės buvo pakeistos dėl civilinių teisių klaidų, tačiau dėl atgalinio suderinamumo šiuolaikinės TSL ir SSL versijos vis dar palaiko 512 bitų raktus.
Deja, TSL protokolo dalyje yra klaida, nustatanti, kurį rakto ilgį naudoti. Ši klaida, „LogJam“, leidžia: žmogus viduryje Kas yra vidurio puolėjas? Saugumo žargonu paaiškintaJei girdėjote apie „vidurio žmogaus“ išpuolius, bet nesate tikri, ką tai reiškia, šis straipsnis skirtas jums. Skaityti daugiau užpuolikas, kad apgautų abu klientus galvodami, kad jie kalbasi su senąja sistema, kuri nori naudoti trumpesnį raktą. Tai sumažina ryšio stiprumą ir palengvina ryšio iššifravimą. Ši klaida buvo paslėpta protokole apie dvidešimt metų ir tik neseniai buvo aptikta.
Kas yra paveiktas?
Šiuo metu klaida paveikta apie 8% didžiausių milijonų svetainių, turinčių „HTTPS“, ir daugybė pašto serverių, turinčių pasenusį kodą. Paveiktos visos pagrindinės interneto naršyklės, išskyrus „Internet Explorer“. Paveikti tinklalapiai puslapio viršuje rodys žalią „https“ užraktą, tačiau nebus apsaugoti nuo kai kurių užpuolikų.
Naršyklės kūrėjai sutiko, kad pats patikimiausias šios problemos sprendimas yra pašalinti visą senąjį 512 bitų RSA raktų palaikymą. Deja, tai taps tam tikra interneto dalis, įskaitant daugelį pašto serverių, negalima, kol nebus atnaujinta jų programinė įranga. Norėdami patikrinti, ar jūsų naršyklė nepataisyta, galite apsilankyti svetainėje, kurią sukūrė išpuolį atradę saugumo tyrinėtojai, adresu silpnasdh.org.
Puolimo praktiškumas
Taigi, kiek pažeidžiama yra vis dėlto 512 bitų raktas šiomis dienomis? Norėdami tai sužinoti, pirmiausia turime išsiaiškinti, kas yra puolama. „Diffie-Hellman“ keitimasis raktais yra algoritmas, naudojamas dviem šalims susitarti dėl bendro simetrinio šifravimo rakto, jo nedalijant su hipotetiniu snooperiu. „Diffie-Hellman“ algoritmas remiasi bendruoju pirminiu skaičiumi, integruotu į protokolą, kuris diktuoja jo saugumą. Tyrėjai sugebėjo nulaužti dažniausiai pasitaikančius šiuos primus per vieną savaitę, leisdami jiems iššifruoti apie 8% interneto srauto, kuris buvo užšifruotas silpnesniu 512 bitų pradmeniu.
Dėl šios priežasties šią ataką gali pasiekti „kavinės užpuolikas“ - smulkus vagis Snausti sesijas per viešą „Wi-Fi“ 3 Pavojai prisijungiant prie viešojo „Wi-Fi“Girdėjote, kad naudodamiesi viešuoju belaidžiu internetu neturėtumėte atidaryti „PayPal“, savo banko sąskaitos ir galbūt net el. Pašto adreso. Tačiau kokia yra tikroji rizika? Skaityti daugiau ir žiauriai verčiantys klavišus po to, kai reikia atkurti finansinę informaciją. Išpuolis būtų nereikšmingas korporacijoms ir organizacijoms, tokioms kaip NSA, kurioms prireiks nemažai laiko, kad būtų galima paskirti vyrą vidurio puolime šnipinėti. Bet kokiu atveju tai reiškia patikimą saugumo pavojų tiek paprastiems žmonėms, tiek visiems, kuriuos gali paveikti galingesnių pajėgų šnipinėjimas. Be abejo, kažkas, pavyzdžiui, Edvardas Snowdenas, turėtų būti labai atsargus, kad saugioje ateityje galėtų naudoti neužtikrintą „WiFi“.
Dar labiau nerimą kelia tai, kad tyrėjai taip pat siūlo, kad standartiniai pradiniai ilgiai, kurie laikomi saugiais, kaip 1024 bitų Diffie-Hellmanas, gali būti pažeidžiamas galingos vyriausybės žiaurios jėgos išpuolių organizacijos. Jie siūlo pereiti prie žymiai didesnių raktų dydžių, kad būtų išvengta šios problemos.
Ar mūsų duomenys yra saugūs?
„LogJam“ klaida yra nepageidaujamas priminimas apie kriptografijos reguliavimo pavojus nacionalinio saugumo tikslais. Stengiantis susilpninti JAV priešus, visi įskaudino ir padarė mus visus mažiau saugius. Tai ateina tuo metu, kai FTB stengiasi priversti technologijų kompanijas įtraukti šifravimo programinę įrangą į užpakalines dalis. Yra labai didelė tikimybė, kad jei jie laimės, pasekmės ateinantiems dešimtmečiams bus tokios pat rimtos.
Ką tu manai? Ar turėtų būti taikomi griežtos kriptografijos apribojimai? Ar jūsų naršyklė apsaugota nuo „LogJam“? Praneškite mums komentaruose!
Vaizdo kreditai: JAV karinio jūrų laivyno kibernetinis karas, Piratų klaviatūra, HTTP, NSA ženklas sukūrė „Wikimedia“
Rašytojas ir žurnalistas, įsikūręs Pietvakariuose, garantuoja, kad Andre išliks funkcionalus iki 50 laipsnių Celsijaus ir yra atsparus vandeniui iki dvylikos pėdų gylio.
