Olvasási idő: 2 jegyzőkönyv
Egy SSL/TLS biztonsági rést azonosítottak, amellyel a támadók a HTTPS-kapcsolatok kriptográfiáját visszafejthetik a visszafejthetővé. lehetővé teszi a támadók számára, hogy figyeljenek a böngészők és a szerverek közötti kommunikációra. A biztonsági rés súlyossága rendkívül súlyos, mivel a támadók pénzügyi csalás elkövetése érdekében bejelentkezési hitelesítő adatokat szerezhetnek be érzékeny rendszerekhez, például banki webhelyekhez.
Ez emlékeztet a közelmúltban megjelent Heartbleed és POODLE biztonsági résekre, amelyeket a titkosított kommunikáció veszélyeztetésére is ki lehet használni.
A FREAK támadásnak becézett sebezhetőség az OpenSSL projekt kódját tartalmazza, ahogy a Heartbleed tette tavaly. A hatás azonban a különböző gyártók böngészőitől függően eltérő.
Megerősítették, hogy az Apple Safari és az Android böngészők sebezhetőek. A Chrome-ot azonban nem érinti, ahogy az Internet Explorert és a Firefoxot sem.
Hogyan történhetett ez meg?
Az 1990-es években az Egyesült Államok kormánya ellenőrizni akarta az általuk „fegyverminőségű” titkosítás exportját. Lehetővé tennék az erős, a mai napig 128 bites titkosítás használatát az Egyesült Államokban, de a Fed azt akarta, hogy az amerikai titkosszolgálatok és a bűnüldözés „hátsó ajtókat” kapjanak a külföldi kommunikáció terén. Egy gyenge, 40 bites titkosítási csomagot vezettek be, amelyet „export fokozatnak” nevezett, az Egyesült Államokon kívüli használatra, amelyet az amerikai hatóságok szükség esetén feltörhetnek.
Míg a legtöbb böngésző évek óta nem támogatja a 40 bites csomagokat, ezek az SSL-könyvtárak és -böngészők egyharmadában jelen vannak. Ha a programcsomag megtalálható egy böngészőben, a támadó felcsatolhatja az úgynevezett „downgrade támadást”, és a gyenge titkosítási csomag használatát kényszerítheti ki. Használva ember-közepén támadás, a támadó beiktat egy folyamatot a böngésző és a szerver közé, hogy elfogja és visszafejtse üzeneteiket.
Sajnos ez a funkció még mindig sok webszerverbe be van építve, akár egyharmadukba is. A támadó arra kényszerítheti a sebezhető klienseket és kiszolgálókat, hogy a HTTPS-kapcsolatok gyenge exportfokozatú titkosításait használják, és elfogják a dekódolást vagy módosítsák az általuk elfogott üzeneteket a középső támadás segítségével.
Mit kéne tenned?
Az ilyen típusú támadások sikeréhez a webszervernek és az áldozat böngészőjének is sebezhetőnek kell lennie. Ha webszervert üzemeltet, le kell tiltania az exportálási csomagok és az összes ismert nem biztonságos titkosítás támogatását. Ezután engedélyeznie kell a továbbítási titkosságot. A Mozilla kiadott egy útmutatót és az SSL Configuration Generatort, amely ismerten jó konfigurációkat fog generálni az általános szerverekhez.
A webfelhasználók ezen az oldalon ellenőrizhetik, hogy böngészője sebezhető-e:
https://freakattack.com/clienttest.html
Az Apple és a Google sietve javítja a böngészővel kapcsolatos problémáit, de ez jó alkalom lehet a Comodo Chromium alapú böngészőjének kipróbálására. Comodo Dragon vagy a Firefox alapú Comodo iceDragon. Mindkettő páratlan adatvédelmi és biztonsági funkciókkal rendelkezik, és ingyenesen letölthető.
INGYENES PRÓBA INDÍTÁSA INGYEN SZEREZZE MEG AZONNALI BIZTONSÁGI EREDMÉNYKÁRTYÁT
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
- A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
- Részvények vásárlása és eladása PRE-IPO társaságokban a PREIPO® segítségével. Hozzáférés itt.
- Forrás: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- :van
- :is
- :nem
- 40
- 7
- a
- Minden termék
- lehetővé
- lehetővé téve
- Is
- Amerikai
- an
- és a
- android
- bármilyen
- Apple
- VANNAK
- AS
- At
- támadás
- Hatóság
- Banking
- alapján
- BE
- mert
- óta
- között
- Bit
- Blog
- mindkét
- szünet
- böngésző
- böngészők
- épült
- de
- by
- jött
- TUD
- ellenőrizze
- króm
- króm
- rejtjel
- kettyenés
- ügyfél részére
- kód
- COM
- elkövetni
- Közös
- közlés
- távközlés
- Comodo hírek
- kompromisszum
- Configuration
- MEGERŐSÍTETT
- kapcsolatok
- figyelembe vett
- ellenőrzés
- tudott
- Hitelesítő adatok
- kriptográfia
- nap
- visszafejtése
- Eszközök
- DID
- különböző
- do
- Visszaminősítés
- letöltés
- lehetővé
- titkosított
- titkosítás
- végrehajtás
- esemény
- Hasznosított
- felfedező
- export
- rendkívüli módon
- Funkció
- Jellemzők
- FBI
- pénzügyi
- pénzügyi csalás
- Firefox
- A
- Kényszer
- külföldi
- Előre
- csalás
- Ingyenes
- ból ből
- generál
- generátor
- kap
- jó
- Kormány
- fokozat
- útmutató
- történik
- Legyen
- szívű
- Magas
- azonban
- HTML
- http
- HTTPS
- azonosított
- if
- Hatás
- in
- információ
- bizonytalan
- Betétek
- azonnali
- Intelligencia
- Internet
- Internet Security
- Bevezetett
- kérdések
- IT
- ITS
- jpg
- ismert
- keresztnév
- Tavaly
- Törvény
- bűnüldözési
- könyvtárak
- Belépés
- férfi
- sok
- max-width
- üzenetek
- Középső
- esetleg
- a legtöbb
- SZERELJÜK
- Mozilla
- kell
- szükséges
- hír
- szerez
- of
- on
- ONE
- openssl
- működik
- or
- kívül
- Plató
- Platón adatintelligencia
- PlatoData
- be
- magánélet
- Adatvédelem és biztonság
- folyamat
- program
- közzétett
- új
- említett
- emlékeztető
- s
- Safari
- scorecard
- biztonság
- küld
- érzékeny
- Szerverek
- Szolgáltatások
- kellene
- weboldal
- Webhely (ek)
- SSL
- Államok
- Még mindig
- erős
- sikerül
- ilyen
- kíséret
- támogatás
- Támogatott
- Systems
- hogy
- A
- azok
- akkor
- ők
- Harmadik
- ezt
- idő
- nak nek
- megpróbál
- típus
- nekünk
- Amerikai kormány
- Egyesült
- Egyesült Államok
- páratlan
- us
- használ
- használt
- Felhasználók
- segítségével
- eladó
- sérülékenységek
- sebezhetőség
- Sebezhető
- kívánatos
- figyelmeztetés
- volt
- háló
- webszerver
- Mit
- Mi
- amikor
- ami
- lesz
- lenne
- év
- év
- te
- A te
- zephyrnet