Рекламное объявление

Роман ошибка шифрования появилась недавно, что может представлять угрозу для конфиденциальности в Интернете. Названная «LogJam», ошибка возникает в TSL (уровне безопасности транспорта), протоколе шифрования, который используется для аутентификации серверов и скрытия содержимого безопасной веб-активности (например, входа в ваш банк).

Эта ошибка позволяет злоумышленнику с помощью посредника заставить ваш браузер и сервер, к которому он подключен, использовать слабую форму шифрования, которая уязвима для атак методом перебора. Это связано с Уязвимость FREAK SuperFREAK: новая уязвимость безопасности влияет на безопасность настольных и мобильных браузеровУязвимость FREAK влияет на ваш браузер и не ограничивается каким-либо одним браузером или какой-либо одной операционной системой. Узнайте, затронуты ли вы, и защитите себя. Подробнее обнаружен и исправлен ранее в этом году. Эти ошибки идут по пятам за более катастрофическими проблемами безопасности, такими как Heartbleed Heartbleed - Что вы можете сделать, чтобы оставаться в безопасности? Подробнее

и ShellShock Хуже, чем сердцебиение? Встречайте ShellShock: новая угроза безопасности для OS X и Linux Подробнее .

954px-Интернет1

В то время как исправления в работе для большинства основных браузеров, исправление может оставить тысячи веб-серверов недоступными, пока они не будут обновлены с исправленным кодом.

Военное наследие

В отличие от большинства уязвимостей безопасности, которые вызваны просто из-за недосмотра программиста В 1000 приложениях iOS есть ошибка SSL: как проверить, не затронуты ли выОшибка AFNetworking создает проблемы для пользователей iPhone и iPad, а тысячи приложений имеют уязвимость, приводящую к Сертификаты SSL от правильной аутентификации, потенциально способствующие краже идентификационных данных через посредника атаки. Подробнее эта уязвимость, по крайней мере, частично преднамеренная. Еще в начале 1990-х годов, когда началась революция ПК, федеральное правительство было обеспокоено тем, что Экспорт надежной технологии шифрования иностранным державам может поставить под угрозу ее способность шпионить за другими нации. В то время сильная технология шифрования считалась юридически формой оружия. Это позволило федеральному правительству наложить ограничения на его распространение.

В результате, когда был разработан SSL (Secure Socket Layer, предшественник TSL), он был разработан в двух вариантах - версия для США, которая поддерживаются ключи полной длины 1024 бит или более, а также международная версия с 512-битными ключами, экспоненциально слабее. Когда две разные версии SSL общаются, они возвращаются к более легко взломанному 512-битному ключу. Правила экспорта были изменены из-за обратной реакции гражданских прав, но по причинам обратной совместимости современные версии TSL и SSL по-прежнему поддерживают 512-битные ключи.

081203-N-2147L-390

К сожалению, в части протокола TSL есть ошибка, которая определяет, какую длину ключа использовать. Эта ошибка, LogJam, позволяет человек посередине Что такое атака «человек посередине»? Безопасность Жаргон объяснилЕсли вы слышали об атаках типа «человек посередине», но не совсем уверены, что это значит, эта статья для вас. Подробнее злоумышленник обманом заставляет обоих клиентов думать, что они разговаривают с устаревшей системой, которая хочет использовать более короткий ключ. Это снижает прочность соединения и упрощает расшифровку связи. Эта ошибка была скрыта в протоколе около двадцати лет, и только недавно была обнаружена.

Кто пострадал?

В настоящее время эта ошибка затрагивает около 8% первого миллиона веб-сайтов с поддержкой HTTPS и большое количество почтовых серверов, на которых, как правило, работает устаревший код. Это касается всех основных веб-браузеров, кроме Internet Explorer. Уязвимые веб-сайты будут показывать зеленую блокировку https вверху страницы, но не будут защищены от некоторых злоумышленников.

Производители браузеров сошлись во мнении, что наиболее надежное решение этой проблемы - удалить всю устаревшую поддержку 512-битных ключей RSA. К сожалению, это сделает некоторая часть интернета, включая многие почтовые серверы, недоступны до тех пор, пока не будет обновлена ​​их прошивка. Чтобы проверить, был ли ваш браузер исправлен, вы можете посетить сайт, созданный исследователями безопасности, которые обнаружили атаку, по адресу weakdh.org.

Практичность атаки

Так как уязвимы является в любом случае, 512-битный ключ? Чтобы выяснить это, мы сначала должны посмотреть, что именно подвергается нападению. Обмен ключами Диффи-Хеллмана - это алгоритм, который позволяет двум сторонам договариваться об общем симметричном ключе шифрования, не передавая его гипотетическому шпиону. Алгоритм Диффи-Хеллмана основан на общем простом числе, встроенном в протокол, который определяет его безопасность. Исследователи смогли взломать наиболее распространенные из этих простых чисел в течение одной недели, что позволило им расшифровать около 8% интернет-трафика, который был зашифрован с помощью более слабого 512-битного простого числа.

Это делает эту атаку доступной для «нападающего кафе» - мелкого вора слежка за сессиями через публичный WiFi 3 опасности входа в общественный Wi-FiВы слышали, что вам не следует открывать PayPal, свой банковский счет и, возможно, даже электронную почту при использовании общедоступного Wi-Fi. Но каковы реальные риски? Подробнее и брутфорсы после факта восстановления финансовой информации. Атака будет тривиальной для корпораций и организаций, таких как АНБ, которые могут пойти на многое, чтобы подготовить человека в середине атаки для шпионажа. В любом случае, это представляет собой реальную угрозу безопасности, как для обычных людей, так и для тех, кто может быть уязвим для отслеживания со стороны более мощных сил. Конечно, кто-то вроде Эдварда Сноудена должен быть очень осторожен с использованием незащищенного Wi-Fi в обозримом будущем.

640px-Backlit_keyboard (1)

Более того, исследователи также предполагают, что стандартные простые длины, которые считаются безопасными, как 1024-битный Диффи-Хеллман, может быть уязвимым для атаки грубой силы со стороны могущественного правительства организаций. Они предлагают перейти на существенно больший размер ключа, чтобы избежать этой проблемы.

Защищены ли наши данные?

640px-Nsa_sign

Ошибка LogJam является нежелательным напоминанием об опасности регулирования криптографии для целей национальной безопасности. Усилия, направленные на ослабление врагов Соединенных Штатов, обернулись для всех и сделали всех нас менее безопасными. Это происходит в то время, когда ФБР предпринимает усилия, чтобы заставить технологические компании включить бэкдоры в свое программное обеспечение для шифрования. Есть очень хороший шанс, что если они победят, последствия на ближайшие десятилетия будут столь же серьезными.

Что вы думаете? Должны ли быть ограничения на сильную криптографию? Ваш браузер защищен от LogJam? Дайте нам знать об этом в комментариях!

Кредиты изображений: Кибервойна ВМС США, Хакер клавиатура, HTTP, Знак АНБ Викимедиа

Андре, писатель и журналист, работающий на юго-западе, гарантированно сохраняет работоспособность до 50 градусов по Цельсию и водонепроницаем на глубине до двенадцати футов.