В криптографическом пакете OpenSSL и библиотеке Apple's SecureTransport, обеспечивающих шифрование данных в защищенных соединениях HTTPS, обнаружена опасная уязвимость, получившая название FREAK. Она ставит под угрозу безопасность браузера Safari на мобильных устройствах iPhone, iPad и компьютерах Mac, а также большинства браузеров устройств на платформе Android.
Примечательно, что проблема коренится в политических решениях, принятых руководством США в начале 1990-х годов. Тогда американским компаниям было запрещено продавать за рубеж ПО, использующее шифрование с длиной ключа более 512 бит. Впоследствии это решение было отменено, однако слабые 512-битные ключи успели стать чем-то вроде неписанного технологического стандарта и повсеместно использовались разработчиками ПО. Сегодня недостаточно надежными считаются уже и 1024-битные ключи. А взлом 512-битного – вопрос нескольких часов работы квалифицированного хакера.
Атака с использованием уязвимости FREAK в общих чертах выглядит следующим образом. При установлении HTTPS-соединения клиентский компьютер обращается к серверу и указывает поддерживаемые способы шифрования и длину ключей. Именно на этом этапе и включаются в дело хакеры. Используя, например, незащищенное Wi-Fi соединение, они подменяют клиентский запрос, указывая, что компьютер поддерживает только заведомо слабое RSA-шифрование с 512-битным ключом. И если сервер соглашается на его использование, вся зашифрованная персональная информация пользователя, передаваемая в ходе сеанса, становится доступной киберпреступникам.
По данным экспертов, обследовавших порядка 14 миллионов вебсайтов, использующих эту схему, более трети из них – конкретно 36% – соглашаются на применение 512-битных ключей. Забавно, что в их числе оказались, например, сайты Белого Дома, ФБР и АНБ США.
Корпорация Apple уже объявила о том, что обновления ее ПО, устраняющие уязвимость, будут выпущены в течение ближайшей недели. Работают над обновлениями и специалисты Google, хотя сроков их выхода корпорация пока не сообщает. Узнать, уязвим ли ваш браузер для атаки с использованием FREAK и получить более подробную информацию можно на сайте https://freakattack.com/.
Специалисты по кибербезопасности считают нынешнюю ситуацию наглядным примером того, к чему может привести вмешательство политиков в вопросы технологии. Они напоминают, что сегодня руководство ФБР и АНБ США ратует за то, чтобы разработчики ПО оставляли для правоохранителей бэкдоры в своих программах и указывают, что долгосрочные последствия таких требований могут оказаться самыми непредсказуемыми.
Обнаружена опасная уязвимость криптографического пакета Open
-
- Похожие темы
- Ответы
- Просмотры
- Последнее сообщение
-
- 1 Ответы
- 771 Просмотры
-
Последнее сообщение Groove
14 янв 2016, 17:12
-
- 0 Ответы
- 670 Просмотры
-
Последнее сообщение Tcinet
23 сен 2015, 20:52
-
- 0 Ответы
- 694 Просмотры
-
Последнее сообщение Tcinet
30 ноя 2015, 15:53
-
- 0 Ответы
- 2938 Просмотры
-
Последнее сообщение richardwalter
06 фев 2017, 14:16
-
-
Новое сообщение В PayPal ликвидирована уязвимость
Tcinet » 09 дек 2014, 18:57 » в форуме Социальные сети - 0 Ответы
- 814 Просмотры
-
Последнее сообщение Tcinet
09 дек 2014, 18:57
-
Кто сейчас на конференции
Сейчас этот форум просматривают: slemenn и 1343 гостя