Lukuaika: 2 pöytäkirja
On havaittu SSL / TLS-haavoittuvuus, jota hyökkääjät voisivat käyttää päivittämään HTTPS-yhteyksien salakirjoituksen haavoittuvaksi salauksen purkamiselle. jolloin hyökkääjät voivat kuunnella selainten ja palvelimen välistä viestintää. Tämän haavoittuvuuden vakavuus on erittäin korkea, koska hyökkääjät voivat käyttää sitä hankkiakseen kirjautumistiedot herkille järjestelmille, kuten pankkisivustoille, taloudellisten petosten tekemiseksi.
Tämä muistuttaa viimeaikaisia Heartbleed- ja POODLE-haavoittuvuuksia, joita voitaisiin hyödyntää myös salatun viestinnän vaarantamiseksi.
Haavoittuvuus, lempinimeltään FREAK-hyökkäys, sisältää OpenSSL-projektin koodin, kuten Heartbleed teki viime vuonna. Vaikutus vaihtelee kuitenkin eri toimittajien selaimissa.
Apple Safari- ja Android-selaimet on vahvistettu haavoittuviksi. Tämä ei kuitenkaan vaikuta Chromeen eikä Internet Explorer ja Firefox.
Miten tämä voi tapahtua?
1990-luvulla Yhdysvaltain hallitus halusi valvoa "aseiden luokan" salauksen vientiä. Ne antaisivat vahvan, nykypäivänsä, 128-bittisen salauksen, käyttää Yhdysvalloissa, mutta Feds halusi Yhdysvaltain tiedustelupalveluiden ja lainvalvontaviranomaisten olevan "takaovet" ulkomaisessa viestinnässä. Heikko 40-bittinen salauspaketti otettiin käyttöön nimellä "vientiluokka" käytettäväksi Yhdysvaltojen ulkopuolella, jonka Yhdysvaltain viranomaiset voivat rikkoa tarvittaessa.
Vaikka useimmat selaimet eivät ole tuoneet 40-bittisiä paketteja vuosien ajan, niitä on jopa kolmanneksessa SSL-kirjastoista ja -selaimista. Jos ohjelmistopaketti on selaimessa, hyökkääjä voi asentaa niin kutsutun "downgrade-hyökkäyksen" pakottaen käyttämään heikkoa salauspakettia. Käyttää ihmisen keskellä hyökkäys, hyökkääjä lisää prosessin selaimen ja palvelimen välille sieppaamaan ja salauksen purkamiseksi.
Valitettavasti tämä ominaisuus on edelleen sisäänrakennettu moniin verkkopalvelimiin, jopa kolmannes. Hyökkääjä voi pakottaa haavoittuvat asiakkaat ja palvelimet käyttämään HTTPS-yhteyksien heikkoja vientiluokan salauksia sieppaamaan salauksen purkamisen tai muuttamaan sieppaamansa viestit man-in-middle-hyökkäyksen avulla.
Mitä sinun pitäisi tehdä?
Jotta tällainen hyökkäys onnistuu, sekä verkkopalvelimen että uhrin selaimen on oltava haavoittuvia. Jos ylläpidät verkkopalvelinta, sinun on poistettava kaikkien vientipakettien ja kaikkien tunnettujen salaamattomien salausten tuki käytöstä. Sitten sinun tulisi ottaa käyttöön edelleenlähetys. Mozilla on julkaissut oppaan ja SSL Configuration Generatorin, joka luo tunnetut hyvät kokoonpanot yleisille palvelimille.
Verkkokäyttäjille voit tarkistaa, onko selaimesi haavoittuva tällä sivustolla:
https://freakattack.com/clienttest.html
Apple ja Google kiirehtivät selainongelmien korjauksia, mutta tämä saattaa olla hyvä aika kokeilla Comodon Chromium-selainta Comodo Dragon tai Firefox-pohjainen Comodon jäälohikäärme. Molemmilla on vertaansa vailla olevat yksityisyys- ja turvaominaisuudet, ja ne ovat ladattavissa ilmaiseksi.
ALOITA ILMAINEN KOKEILU SAA VAKAA TURVALLISUUSKORTTI ILMAISEKSI
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
- Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
- Osta ja myy osakkeita PRE-IPO-yhtiöissä PREIPO®:lla. Pääsy tästä.
- Lähde: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- :on
- :On
- :ei
- 40
- 7
- a
- Kaikki
- sallia
- Salliminen
- Myös
- Amerikkalainen
- an
- ja
- android
- Kaikki
- omena
- OVAT
- AS
- At
- hyökkäys
- Viranomaiset
- Pankkitoiminta
- perustua
- BE
- koska
- ollut
- välillä
- Bitti
- Blogi
- sekä
- Tauko
- selain
- selaimet
- rakennettu
- mutta
- by
- tuli
- CAN
- tarkastaa
- kromi
- kromi
- salakirjoitus
- napsauttaa
- asiakkaat
- koodi
- KOM
- sitoutumaan
- Yhteinen
- Viestintä
- Yhteydenpito
- Comodo -uutiset
- kompromissi
- Konfigurointi
- CONFIRMED
- Liitännät
- harkittu
- ohjaus
- voisi
- Valtakirja
- kryptografia
- päivä
- Pura
- Laitteet
- DID
- eri
- do
- Downgrade
- download
- mahdollistaa
- salattu
- salaus
- täytäntöönpano
- tapahtuma
- hyödynnetään
- tutkimusmatkailija
- vienti
- erittäin
- Ominaisuus
- Ominaisuudet
- FBI
- taloudellinen
- taloudelliset petokset
- Firefox
- varten
- voima
- ulkomainen
- Eteenpäin
- petos
- Ilmainen
- alkaen
- tuottaa
- generaattori
- saada
- hyvä
- Hallitus
- luokka
- ohjaavat
- tapahtua
- Olla
- heartbleed-haavoittuvuus
- Korkea
- Kuitenkin
- HTML
- http
- HTTPS
- tunnistettu
- if
- Vaikutus
- in
- tiedot
- turvaton
- insertit
- välitön
- Älykkyys
- Internet
- Internet Security
- käyttöön
- kysymykset
- IT
- SEN
- jpg
- tunnettu
- Sukunimi
- Viime vuonna
- Laki
- lainvalvontaviranomaisten
- kirjastot
- Kirjaudu sisään
- mies
- monet
- max-width
- viestien
- Keskimmäinen
- ehkä
- eniten
- ASENNA
- mozilla
- täytyy
- tarvitaan
- uutiset
- saada
- of
- on
- ONE
- openssl
- käyttää
- or
- ulkopuolella
- Platon
- Platonin tietotieto
- PlatonData
- esittää
- yksityisyys
- Tietosuoja ja turvallisuus
- prosessi
- projekti
- julkaistu
- äskettäinen
- tarkoitettuja
- muistuttaa
- s
- safari
- tuloskortti
- turvallisuus
- lähettää
- sensible
- servers
- Palvelut
- shouldnt
- paikka
- Sivustot
- SSL
- Valtiot
- Yhä
- vahva
- menestyä
- niin
- sviitti
- tuki
- Tuetut
- järjestelmät
- että
- -
- heidän
- sitten
- ne
- kolmas
- tätä
- aika
- että
- yrittää
- tyyppi
- meille
- Yhdysvaltain hallitus
- Yhtenäinen
- Yhdysvallat
- verraton
- us
- käyttää
- käytetty
- Käyttäjät
- käyttämällä
- myyjä
- haavoittuvuuksia
- alttius
- Haavoittuva
- halusi
- varoitus
- oli
- verkko
- Web-palvelin
- Mitä
- Mikä on
- kun
- joka
- tulee
- olisi
- vuosi
- vuotta
- Voit
- Sinun
- zephyrnet