Momento della lettura: 2 verbale
È stata identificata una vulnerabilità SSL / TLS che gli aggressori potrebbero utilizzare per eseguire il downgrade della crittografia delle connessioni HTTPS a una vulnerabile alla decrittografia. consentendo agli aggressori di ascoltare le comunicazioni tra un browser e un server. La gravità di questa vulnerabilità è estremamente elevata perché gli aggressori possono utilizzarla per ottenere credenziali di accesso per sistemi sensibili come i siti bancari per commettere frodi finanziarie.
Ciò ricorda le recenti vulnerabilità di Heartbleed e POODLE che potrebbero essere sfruttate anche per compromettere la comunicazione crittografata.
La vulnerabilità, soprannominata attacco FREAK, coinvolge il codice del progetto OpenSSL come ha fatto Heartbleed l'anno scorso. Tuttavia, l'impatto varia a seconda dei browser dei diversi fornitori.
I browser Apple Safari e Android sono stati confermati come vulnerabili. Tuttavia, Chrome non è interessato e nemmeno Internet Explorer e Firefox.
Come è potuto accadere?
Negli anni '1990 il governo degli Stati Uniti voleva controllare l'esportazione di quella che considerava una crittografia di "grado per armi". Avrebbero consentito l'uso della forte crittografia a 128 bit, per i suoi tempi, negli Stati Uniti, ma i federali volevano che i servizi segreti e le forze dell'ordine statunitensi avessero "backdoor" quando si trattava di comunicazioni estere. È stata introdotta una suite di crittografia debole a 40 bit denominata "grado di esportazione" per l'utilizzo al di fuori degli Stati Uniti che le autorità americane potrebbero rompere se necessario.
Sebbene la maggior parte dei browser non supporti le suite a 40 bit da anni, sono presenti in ben un terzo delle librerie e dei browser SSL. Se la suite è presente in un browser, un utente malintenzionato può montare quello che è noto come "attacco di downgrade", forzando l'uso della suite di crittografia debole. Usare un attacco man-in-the-middle, l'aggressore inserisce un processo tra il browser e il server per intercettare e decrittografare i propri messaggi.
Sfortunatamente, questa funzionalità è ancora incorporata in molti server Web, fino a un terzo. Un utente malintenzionato può forzare i client e i server vulnerabili a utilizzare le deboli crittografie di livello di esportazione nelle connessioni HTTPS intercettare, decrittografare o alterare i messaggi che intercettano utilizzando un attacco man-in-the-middle.
Che cosa si deve fare?
Affinché questo tipo di attacco abbia successo, sia il server web che il browser della vittima devono essere vulnerabili. Se gestisci un server web dovresti disabilitare il supporto per tutte le suite di esportazione e tutte le cifrature non sicure conosciute. Dovresti quindi abilitare la segretezza in avanti. Mozilla ha pubblicato una guida e un generatore di configurazione SSL, che genererà configurazioni note per i server comuni.
Per gli utenti web, puoi verificare se il tuo browser è vulnerabile in questo sito:
https://freakattack.com/clienttest.html
Apple e Google si stanno affrettando a risolvere i problemi del browser, ma questo potrebbe essere un buon momento per provare il browser basato su Chromium di Comodo Comodo Dragon o basato su Firefox Comodo IceDragon. Entrambi hanno funzionalità di privacy e sicurezza impareggiabili e possono essere scaricati gratuitamente.
INIZIA LA PROVA GRATUITA OTTIENI IL TUO SCORECARD DI SICUREZZA ISTANTANEO GRATUITAMENTE
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
- Coniare il futuro con Adryenn Ashley. Accedi qui.
- Acquista e vendi azioni in società PRE-IPO con PREIPO®. Accedi qui.
- Fonte: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- :ha
- :È
- :non
- 40
- 7
- a
- Tutti
- consentire
- Consentire
- anche
- americano
- an
- ed
- androide
- in qualsiasi
- Apple
- SONO
- AS
- At
- attacco
- Autorità
- Settore bancario
- basato
- BE
- perché
- stato
- fra
- Po
- Blog
- entrambi
- Rompere
- del browser
- browser
- costruito
- ma
- by
- è venuto
- Materiale
- dai un'occhiata
- Chrome
- cromo
- cifra
- clicca
- clienti
- codice
- COM
- commettere
- Uncommon
- Comunicazione
- Comunicazioni
- Notizie Comodo
- compromesso
- Configurazione
- CONFERMATO
- Connessioni
- considerato
- di controllo
- potuto
- Credenziali
- crittografia
- giorno
- decrypt
- dispositivi
- DID
- diverso
- do
- Retrocedere
- scaricare
- enable
- crittografato
- crittografia
- applicazione
- Evento
- Exploited
- esploratore
- export
- estremamente
- caratteristica
- Caratteristiche
- Feds
- finanziario
- Frodi finanziarie
- Firefox
- Nel
- forza
- estero
- Avanti
- frode
- Gratis
- da
- generare
- generatore
- ottenere
- buono
- Enti Pubblici
- grado
- guida
- accadere
- Avere
- heartbleed
- Alta
- Tuttavia
- HTML
- http
- HTTPS
- identificato
- if
- Impact
- in
- informazioni
- insicuro
- Inserti
- immediato
- Intelligence
- Internet
- Internet Security
- introdotto
- sicurezza
- IT
- SUO
- jpg
- conosciuto
- Cognome
- L'anno scorso
- Legge
- applicazione della legge
- biblioteche
- accesso
- uomo
- molti
- max-width
- messaggi
- In mezzo
- forza
- maggior parte
- MONTARE
- Mozilla
- devono obbligatoriamente:
- di applicazione
- notizie
- ottenere
- of
- on
- ONE
- OpenSSL
- operare
- or
- al di fuori
- Platone
- Platone Data Intelligence
- PlatoneDati
- presenti
- Privacy
- Privacy e sicurezza
- processi
- progetto
- pubblicato
- recente
- di cui
- che ricorda
- s
- Safari
- cartoncino segnapunti
- problemi di
- inviare
- delicata
- Server
- Servizi
- dovrebbero
- site
- Siti
- SSL
- stati
- Ancora
- forte
- avere successo
- tale
- suite
- supporto
- supportato
- SISTEMI DI TRATTAMENTO
- che
- Il
- loro
- poi
- di
- Terza
- questo
- tempo
- a
- prova
- Digitare
- noi
- Governo degli Stati Uniti
- Unito
- Stati Uniti
- impareggiabile
- us
- uso
- utilizzato
- utenti
- utilizzando
- venditore
- vulnerabilità
- vulnerabilità
- Vulnerabile
- ricercato
- identificazione dei warning
- Prima
- sito web
- web server
- Che
- Che cosa è l'
- quando
- quale
- volere
- sarebbe
- anno
- anni
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro