זמן קריאה: 2 דקות
זוהתה פגיעות SSL / TLS שתוקפים יכולים להשתמש בהן כדי לשדרג לאחור את הקריפטוגרפיה של חיבורי HTTPS לאחד הפגיע לפענוח. ומאפשר לתוקפים להקשיב לתקשורת בין דפדפנים לשרת. חומרת הפגיעות הזו גבוהה ביותר מכיוון שתוקפים יכולים להשתמש בה כדי להשיג אישורי כניסה למערכות רגישות כמו אתרים בנקאיים שביצעו הונאה כספית.
זה מזכיר את הפגיעויות האחרונות ב- Heartbleed ו- POODLE שאפשר לנצל גם כדי לפגוע בתקשורת מוצפנת.
הפגיעות, המכונה מתקפת FREAK, כוללת קוד מפרויקט OpenSSL כפי שעשה Heartbleed בשנה שעברה. עם זאת, ההשפעה משתנה בהתאם לדפדפני הספק השונים.
דפדפני אפל ספארי ואנדרואיד אושרו כפגיעים. עם זאת, Chrome אינו מושפע וגם לא Internet Explorer ו- Firefox.
איך זה יכל לקרות?
בשנות התשעים ממשלת ארה"ב רצתה לשלוט בייצוא של מה שהם רואים כ"צפנת "נשק". הם יאפשרו להשתמש בהצפנה החזקה של 1990 סיביות בארצות הברית, אך ה- Feds רצו שלשירותי הביון האמריקניים ואכיפת החוק יהיו "דלתות אחוריות" בכל הנוגע לתקשורת זרה. חבילת הצפנה חלשה של 128 סיביות הוצגה בשם "כיתה יצוא" לשימוש מחוץ לארצות הברית, אשר הרשויות האמריקאיות יכלו לשבור במידת הצורך.
למרות שרוב הדפדפנים לא תמכו בסוויטות 40 הסיביות במשך שנים, הם קיימים בשליש ספריות וספריות ה- SSL. אם הסוויטה קיימת בדפדפן, התוקף יכול לעלות על מה שמכונה 'התקפת שדרוג לאחור', ולאלץ את השימוש בסוויטת הצופן ההחלשה. באמצעות א התקפת אדם באמצעהתוקף מכניס תהליך בין הדפדפן לשרת בכדי ליירט ולהפענח את ההודעות שלהם.
לרוע המזל, תכונה זו עדיין מובנית בשרתי אינטרנט רבים, עד שליש. תוקף יכול לאלץ את הלקוחות והשרתים הפגיעים להשתמש בהצפנות חלשות כיתה ליצוא בחיבורי HTTPS ליירט פענוח או לשנות הודעות שהם מיירטים באמצעות מתקפה של אמצע אמצע.
מה עליך לעשות?
כדי שתקיפה מסוג זה תצליח, שרת האינטרנט וגם הדפדפן של הקורבן צריכים להיות פגיעים. אם אתה מפעיל שרת אינטרנט, עליך לבטל את התמיכה בכל חבילות הייצוא ובכל הצ'יפים הלא-בטוחים הידועים. לאחר מכן עליך לאפשר סודיות קדימה. מוזילה פרסמה מדריך ומחולל תצורות SSL, אשר יפיקו תצורות טובות ידועות לשרתים נפוצים.
עבור משתמשי אינטרנט, אתה יכול לבדוק אם הדפדפן שלך פגיע באתר זה:
https://freakattack.com/clienttest.html
אפל וגוגל ממהרים לתקן את בעיית הדפדפנים שלהם, אך יכול להיות שזה זמן טוב לנסות את הדפדפן מבוסס ה- Chromium של קומודו. Comodo Dragon או מבוסס Firefox Comodo ice דרגון. לשניהם תכונות פרטיות ואבטחה שאין כמוהן וחינם להורדה בחינם.
להתחיל ניסיון ללא תשלום קבלו את כרטיס האבטחה המיידי בחינם
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
- הטבעת העתיד עם אדריאן אשלי. גישה כאן.
- קנה ומכירה של מניות בחברות PRE-IPO עם PREIPO®. גישה כאן.
- מקור: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- :יש ל
- :הוא
- :לֹא
- 40
- 7
- a
- תעשיות
- להתיר
- מאפשר
- גם
- אֲמֶרִיקָאִי
- an
- ו
- דְמוּי אָדָם
- כל
- תפוח עץ
- ARE
- AS
- At
- לתקוף
- רשויות
- בנקאות
- מבוסס
- BE
- כי
- היה
- בֵּין
- קצת
- בלוג
- שניהם
- לשבור
- דפדפן
- דפדפנים
- נבנה
- אבל
- by
- הגיע
- CAN
- לבדוק
- Chrome
- כרום
- צופן
- קליק
- לקוחות
- קוד
- COM
- לבצע
- Common
- תקשורת
- תקשורת
- חדשות קומודו
- פשרה
- תְצוּרָה
- מְאוּשָׁר
- חיבורי
- נחשב
- לִשְׁלוֹט
- יכול
- אישורים
- קריפטוגרפיה
- יְוֹם
- פענוח
- התקנים
- DID
- אחר
- do
- להוריד בדרגה
- להורדה
- לאפשר
- מוצפן
- הצף
- אַכִיפָה
- אירוע
- ומנוצל
- חוקר
- יצוא
- מאוד
- מאפיין
- תכונות
- הבולשת הפדרלית
- כספי
- הונאה כספית
- Firefox
- בעד
- להכריח
- זר
- קדימה
- הונאה
- חופשי
- החל מ-
- ליצור
- גנרטור
- לקבל
- טוב
- ממשלה
- ציון
- מדריך
- לקרות
- יש
- לבבי
- גָבוֹהַ
- אולם
- HTML
- http
- HTTPS
- מזוהה
- if
- פְּגִיעָה
- in
- מידע
- לא בטוח
- מוסיף
- מיידי
- מוֹדִיעִין
- אינטרנט
- Internet Security
- הציג
- בעיות
- IT
- שֶׁלָה
- jpg
- ידוע
- אחרון
- שנה שעברה
- חוק
- אכיפת החוק
- ספריות
- התחבר
- איש
- רב
- max-width
- הודעות
- אמצע
- יכול
- רוב
- הר
- מוזילה
- צריך
- נחוץ
- חדשות
- להשיג
- of
- on
- ONE
- OpenSSL
- להפעיל
- or
- בחוץ
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- להציג
- פְּרָטִיוּת
- פרטיות ואבטחה
- תהליך
- פּרוֹיֶקט
- לאור
- לאחרונה
- מכונה
- מַזכִּיר
- s
- ספארי
- כרטיס ניקוד
- אבטחה
- לשלוח
- רגיש
- שרתים
- שירותים
- צריך
- אתר
- אתרים
- SSL
- הברית
- עוד
- חזק
- להצליח
- כזה
- מערכת
- תמיכה
- נתמך
- מערכות
- זֶה
- השמיים
- שֶׁלָהֶם
- אז
- הֵם
- שְׁלִישִׁי
- זֶה
- זמן
- ל
- לנסות
- סוג
- לָנוּ
- ממשלת ארה"ב
- מאוחד
- ארצות הברית
- ללא תחרות
- us
- להשתמש
- מְשׁוּמָשׁ
- משתמשים
- באמצעות
- מוכר
- פגיעויות
- פגיעות
- פגיע
- רציתי
- אזהרה
- היה
- אינטרנט
- שרת אינטרנט
- מה
- מה
- מתי
- אשר
- יצטרך
- היה
- שנה
- שנים
- אתה
- זפירנט