Χρόνος διαβασματός: 2 πρακτικά
Έχει εντοπιστεί μια ευπάθεια SSL / TLS που θα μπορούσαν να χρησιμοποιήσουν οι εισβολείς για να υποβαθμίσουν την κρυπτογραφία των συνδέσεων HTTPS σε μία ευάλωτη στην αποκρυπτογράφηση. επιτρέποντας στους εισβολείς να ακούνε τις επικοινωνίες μεταξύ ενός προγράμματος περιήγησης και ενός διακομιστή. Η σοβαρότητα αυτής της ευπάθειας είναι εξαιρετικά υψηλή επειδή οι εισβολείς μπορούν να το χρησιμοποιήσουν για να αποκτήσουν διαπιστευτήρια σύνδεσης για ευαίσθητα συστήματα, όπως τραπεζικοί ιστότοποι για διάπραξη οικονομικής απάτης.
Αυτό θυμίζει τις πρόσφατες ευπάθειες Heartbleed και POODLE που θα μπορούσαν επίσης να αξιοποιηθούν για να θέσουν σε κίνδυνο την κρυπτογραφημένη επικοινωνία.
Η ευπάθεια, που ονομάζεται επίθεση FREAK, περιλαμβάνει κώδικα από το έργο OpenSSL, όπως έκανε το Heartbleed πέρυσι. Ωστόσο, ο αντίκτυπος ποικίλλει από τα διάφορα προγράμματα περιήγησης προμηθευτών.
Τα προγράμματα περιήγησης Apple Safari και Android έχουν επιβεβαιωθεί ως ευάλωτα. Ωστόσο, το Chrome δεν επηρεάζεται και ούτε ο Internet Explorer και ο Firefox.
Πώς θα μπορούσε να συμβεί αυτό;
Στη δεκαετία του 1990, η κυβέρνηση των ΗΠΑ ήθελε να ελέγξει την εξαγωγή όσων θεωρούσαν κρυπτογράφηση «όπλου». Θα επέτρεπαν στην ισχυρή, για την ημέρα της, κρυπτογράφηση 128 bit, να χρησιμοποιηθεί στις ΗΠΑ, αλλά η Feds ήθελε οι υπηρεσίες πληροφοριών και οι αρχές επιβολής του νόμου των ΗΠΑ να έχουν «backdoors» όταν πρόκειται για ξένες επικοινωνίες. Παρουσιάστηκε μια αδύναμη σουίτα κρυπτογράφησης 40 bit που αναφέρεται ως «βαθμός εξαγωγής» για χρήση εκτός των Ηνωμένων Πολιτειών που οι αμερικανικές αρχές θα μπορούσαν να σπάσουν αν χρειαστεί.
Ενώ τα περισσότερα προγράμματα περιήγησης δεν έχουν υποστηρίξει τις σουίτες 40 bit εδώ και χρόνια, υπάρχουν σε ένα τρίτο των βιβλιοθηκών και των προγραμμάτων περιήγησης SSL. Εάν η σουίτα υπάρχει σε πρόγραμμα περιήγησης, ένας εισβολέας μπορεί να τοποθετήσει αυτό που είναι γνωστό ως «επίθεση υποβάθμισης», αναγκάζοντας τη χρήση της αδύναμης κρυπτογραφικής σουίτας. Χρησιμοποιώντας ένα η επίθεση στον άνθρωπο στη μέση, ο εισβολέας εισάγει μια διαδικασία μεταξύ του προγράμματος περιήγησης και του διακομιστή για την παρακολούθηση και την αποκρυπτογράφηση των μηνυμάτων τους.
Δυστυχώς, αυτή η δυνατότητα εξακολουθεί να είναι ενσωματωμένη σε πολλούς διακομιστές ιστού, έως και το ένα τρίτο. Ένας εισβολέας μπορεί να αναγκάσει τους ευάλωτους πελάτες και διακομιστές να χρησιμοποιούν τις κρυπτογραφημένες αδύναμες τιμές εξαγωγής στις συνδέσεις HTTPS, να παρακολουθούν την αποκρυπτογράφηση ή να αλλάζουν τα μηνύματα που υποκλέπτουν χρησιμοποιώντας μια επίθεση man-in-the-middle.
Τι πρέπει να κάνετε;
Για να επιτύχει αυτός ο τύπος επίθεσης, τόσο ο διακομιστής ιστού όσο και το πρόγραμμα περιήγησης του θύματος πρέπει να είναι ευάλωτοι. Εάν χρησιμοποιείτε διακομιστή διαδικτύου, θα πρέπει να απενεργοποιήσετε την υποστήριξη για τυχόν σουίτες εξαγωγής και για όλους τους γνωστούς μη ασφαλείς κρυπτογράφους. Στη συνέχεια θα πρέπει να ενεργοποιήσετε το εμπιστευτικό εμπρός. Η Mozilla δημοσίευσε έναν οδηγό και SSL Configuration Generator, που θα δημιουργήσει γνωστές καλές διαμορφώσεις για κοινούς διακομιστές.
Για χρήστες ιστού, μπορείτε να ελέγξετε αν το πρόγραμμα περιήγησής σας είναι ευάλωτο σε αυτόν τον ιστότοπο:
https://freakattack.com/clienttest.html
Η Apple και η Google επιδιορθώνουν γρήγορα τα προβλήματα του προγράμματος περιήγησής τους, αλλά ίσως είναι η κατάλληλη στιγμή να δοκιμάσετε το πρόγραμμα περιήγησης που βασίζεται στο Chromium της Comodo Comodo δράκος ή με βάση τον Firefox Comodo iceDragon. Και οι δύο έχουν απαράμιλλη χαρακτηριστικά απορρήτου και ασφάλειας και είναι δωρεάν για λήψη.
Αρχίστε την Δωρεάν σας δοκιμή ΔΩΡΕΑΝ ΑΚΡΙΒΩΣ ΑΚΡΙΒΕΙΑ ΣΑΣ ΑΣΦΑΛΕΙΑΣ
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- Minting the Future με την Adryenn Ashley. Πρόσβαση εδώ.
- Αγορά και πώληση μετοχών σε εταιρείες PRE-IPO με το PREIPO®. Πρόσβαση εδώ.
- πηγή: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- :έχει
- :είναι
- :δεν
- 40
- 7
- a
- Όλα
- επιτρέπουν
- Επιτρέποντας
- Επίσης
- Αμερικανικη
- an
- και
- android
- κάθε
- Apple
- ΕΙΝΑΙ
- AS
- At
- επίθεση
- Αρχές
- Τράπεζες
- βασίζονται
- BE
- επειδή
- ήταν
- μεταξύ
- Κομμάτι
- Μπλοκ
- και οι δύο
- Διακοπή
- πρόγραμμα περιήγησης
- browsers
- χτισμένο
- αλλά
- by
- ήρθε
- CAN
- έλεγχος
- Chrome
- χρώμιο
- κρυπτογράφημα
- κλικ
- πελάτες
- κωδικός
- COM
- διαπράττουν
- Κοινός
- Επικοινωνία
- Διαβιβάσεις
- Νέα της Comodo
- συμβιβασμός
- διαμόρφωση
- ΕΠΙΒΕΒΑΙΩΜΕΝΟΣ
- Διασυνδέσεις
- θεωρούνται
- έλεγχος
- θα μπορούσε να
- Διαπιστεύσεις
- κρυπτογράφηση
- ημέρα
- Αποκρυπτογράφηση
- Συσκευές
- DID
- διαφορετικές
- do
- Κατηφορικός
- κατεβάσετε
- ενεργοποιήσετε
- κρυπτογραφημένα
- κρυπτογράφηση
- επιβολή
- Συμβάν
- Κακοποιημένα
- εξερευνητής
- εξαγωγή
- εξαιρετικά
- Χαρακτηριστικό
- Χαρακτηριστικά
- Ομοσπονδιακοί
- οικονομικός
- οικονομική απάτη
- Firefox
- Για
- Δύναμη
- ξένος
- Προς τα εμπρός
- απάτη
- Δωρεάν
- από
- παράγουν
- γεννήτρια
- παίρνω
- καλός
- Κυβέρνηση
- βαθμός
- καθοδηγήσει
- συμβαίνω
- Έχω
- εγκάρδιος
- Ψηλά
- Ωστόσο
- HTML
- http
- HTTPS
- προσδιορίζονται
- if
- Επίπτωση
- in
- πληροφορίες
- ανασφαλής
- Ένθετα
- στιγμή
- Νοημοσύνη
- Internet
- Ασφάλεια στο Διαδίκτυο
- εισήγαγε
- θέματα
- IT
- ΤΟΥ
- jpg
- γνωστός
- Επίθετο
- Πέρυσι
- Νόμος
- επιβολή του νόμου
- βιβλιοθήκες
- Σύνδεση
- άνδρας
- πολοί
- max-width
- μηνύματα
- Μέσο
- ενδέχεται να
- πλέον
- ΤΟΠΟΘΕΤΗΣΗ
- Mozilla
- πρέπει
- που απαιτούνται
- νέα
- αποκτήσει
- of
- on
- ONE
- OpenSSL
- λειτουργούν
- or
- εκτός
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- παρόν
- μυστικότητα
- Απορρήτου και Ασφάλεια
- διαδικασια μας
- σχέδιο
- δημοσιεύθηκε
- πρόσφατος
- αναφέρεται
- αναπολών
- s
- Safari
- πίνακας βαθμολογίας
- ασφάλεια
- στείλετε
- ευαίσθητος
- Διακομιστές
- Υπηρεσίες
- θα πρέπει να
- ιστοσελίδα
- Sites
- SSL
- Μελών
- Ακόμη
- ισχυρός
- επιτύχει
- τέτοιος
- σουίτα
- υποστήριξη
- υποστηριζόνται!
- συστήματα
- ότι
- Η
- τους
- τότε
- αυτοί
- Τρίτος
- αυτό
- ώρα
- προς την
- προσπαθώ
- τύπος
- μας
- Κυβέρνηση των ΗΠΑ
- Ενωμένος
- United States
- απαράμιλλος
- us
- χρήση
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιώντας
- πάροχος υπηρεσιών
- Θέματα ευπάθειας
- ευπάθεια
- Ευάλωτες
- ήθελε
- προειδοποίηση
- ήταν
- ιστός
- του web server
- Τι
- Τι είναι
- πότε
- Ποιό
- θα
- θα
- έτος
- χρόνια
- Εσείς
- Σας
- zephyrnet