Læsetid: 2 minutter
En SSL/TLS-sårbarhed er blevet identificeret, som angribere kan bruge til at nedgradere kryptografi af HTTPS-forbindelser til en sårbarhed over for dekryptering. giver angribere mulighed for at lytte til kommunikation mellem en browser og en server. Sværhedsgraden af denne sårbarhed er ekstrem høj, fordi angribere kan bruge den til at få loginoplysninger til følsomme systemer såsom bankwebsteder til at begå økonomisk bedrageri.
Dette minder om de seneste Heartbleed- og POODLE-sårbarheder, der også kunne udnyttes til at kompromittere krypteret kommunikation.
Sårbarheden, som kaldes et FREAK-angreb, involverer kode fra OpenSSL-projektet, som Heartbleed gjorde sidste år. Virkningen varierer dog afhængigt af de forskellige leverandørbrowsere.
Apple Safari- og Android-browsere er blevet bekræftet som sårbare. Chrome er dog ikke påvirket, og det er Internet Explorer og Firefox heller ikke.
Hvordan kunne dette ske?
I 1990'erne ønskede den amerikanske regering at kontrollere eksporten af, hvad de anså for at være kryptering af "våbenkvalitet". De ville tillade, at den stærke, for sin tid, 128 bit kryptering, blev brugt i USA, men Feds ønskede, at amerikanske efterretningstjenester og retshåndhævelse skulle have "bagdøre", når det kom til udenlandsk kommunikation. En svag 40 bit krypteringspakke blev introduceret kaldet "eksportkvalitet" til brug uden for USA, som de amerikanske myndigheder kunne bryde, hvis det var nødvendigt.
Mens de fleste browsere ikke har understøttet 40 bit suiterne i årevis, er de til stede i så mange som en tredjedel af SSL bibliotekerne og browserne. Hvis suiten er til stede i en browser, kan en angriber starte det, der er kendt som et 'nedgraderingsangreb', hvilket tvinger brugen af den svage chifferpakke. Ved hjælp af en mand-i-midten angreb, indsætter angriberen en proces mellem browseren og serveren for at opsnappe og dekryptere deres beskeder.
Desværre er denne funktion stadig indbygget i mange webservere, så mange som en tredjedel. En angriber kan tvinge de sårbare klienter og servere til at bruge de svage eksportkvalitetskrypteringer i HTTPS-forbindelserne opsnappe dekryptere eller ændre meddelelser, de opsnapper ved hjælp af et man-in-the-midten-angreb.
Hvad skulle du gøre?
For at denne type angreb skal lykkes, skal både webserveren og offerets browser være sårbare. Hvis du driver en webserver, bør du deaktivere understøttelse af alle eksportpakker og alle kendte usikre cifre. Du bør derefter aktivere videresendelseshemmelighed. Mozilla har udgivet en guide og SSL Configuration Generator, som vil generere kendte gode konfigurationer til almindelige servere.
For webbrugere kan du kontrollere, om din browser er sårbar på dette websted:
https://freakattack.com/clienttest.html
Apple og Google haster med rettelser til deres browserproblemer, men det kan være et godt tidspunkt at prøve Comodos Chromium-baserede browser Comodo Drage eller den Firefox-baserede Comodo iceDragon. Begge har uovertrufne privatlivs- og sikkerhedsfunktioner og er gratis at downloade.
START GRATIS PRØVNING FÅ DIT ØJEBLIKKE SIKKERHEDSSCORECARD GRATIS
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Køb og sælg aktier i PRE-IPO-virksomheder med PREIPO®. Adgang her.
- Kilde: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- :har
- :er
- :ikke
- 40
- 7
- a
- Alle
- tillade
- tillade
- også
- amerikansk
- an
- ,
- android
- enhver
- Apple
- ER
- AS
- At
- angribe
- Myndigheder
- Bank
- baseret
- BE
- fordi
- været
- mellem
- Bit
- Blog
- både
- Pause
- browser
- browsere
- bygget
- men
- by
- kom
- CAN
- kontrollere
- Chrome
- krom
- cipher
- klik
- kunder
- kode
- KOM
- begå
- Fælles
- Kommunikation
- Kommunikation
- Comodo nyheder
- kompromis
- Konfiguration
- BEKRÆFTET
- Tilslutninger
- betragtes
- kontrol
- kunne
- Legitimationsoplysninger
- kryptografi
- dag
- Dekryptér
- Enheder
- DID
- forskellige
- do
- Nedjustering
- downloade
- muliggøre
- krypteret
- kryptering
- håndhævelse
- begivenhed
- Exploited
- opdagelsesrejsende
- eksport
- ekstremt
- Feature
- Funktionalitet
- Feds
- finansielle
- økonomisk svig
- Firefox
- Til
- Tving
- udenlandsk
- Videresend
- bedrageri
- Gratis
- fra
- generere
- generator
- få
- godt
- Regering
- klasse
- vejlede
- ske
- Have
- heartbleed-bug
- Høj
- Men
- HTML
- http
- HTTPS
- identificeret
- if
- KIMOs Succeshistorier
- in
- oplysninger
- usikker
- Indsætter
- øjeblikkelig
- Intelligens
- Internet
- Internet Security
- introduceret
- spørgsmål
- IT
- ITS
- jpg
- kendt
- Efternavn
- Sidste år
- Lov
- retshåndhævelse
- biblioteker
- Logge på
- mand
- mange
- max-bredde
- beskeder
- Mellemøsten
- måske
- mest
- MONTERING
- Mozilla
- skal
- behov
- nyheder
- opnå
- of
- on
- ONE
- openssl
- betjene
- or
- uden for
- plato
- Platon Data Intelligence
- PlatoData
- præsentere
- Beskyttelse af personlige oplysninger
- Privatliv og sikkerhed
- behandle
- projekt
- offentliggjort
- nylige
- benævnt
- minder
- s
- Safari
- scorecard
- sikkerhed
- send
- følsom
- Servere
- Tjenester
- bør
- websted
- Websteder
- SSL
- Stater
- Stadig
- stærk
- lykkes
- sådan
- suite
- support
- Understøttet
- Systemer
- at
- deres
- derefter
- de
- Tredje
- denne
- tid
- til
- prøv
- typen
- os
- Amerikanske regering
- Forenet
- Forenede Stater
- uovertruffen
- us
- brug
- anvendte
- brugere
- ved brug af
- sælger
- Sårbarheder
- sårbarhed
- Sårbar
- ønskede
- advarsel
- var
- web
- Webserver
- Hvad
- Hvad er
- hvornår
- som
- vilje
- ville
- år
- år
- Du
- Din
- zephyrnet