Lesetid: 2 minutter
Det er identifisert et SSL / TLS-sikkerhetsproblem som angripere kan bruke til å nedgradere kryptografien av HTTPS-tilkoblinger til en sårbar for dekryptering. slik at angripere kan lytte på kommunikasjon mellom nettlesere og server. Alvorlighetsgraden av dette sikkerhetsproblemet er ekstremt høyt fordi angripere kan bruke den til å skaffe påloggingsinformasjon for sensitive systemer som banksider for å begå økonomisk svindel.
Dette minner om de nylige sårbarhetene fra Heartbleed og POODLE som også kan utnyttes for å kompromittere kryptert kommunikasjon.
Sårbarheten, med kallenavnet et FREAK-angrep, innebærer kode fra OpenSSL-prosjektet slik Heartbleed gjorde i fjor. Effekten varierer imidlertid av de forskjellige leverandørens nettlesere.
Apple Safari- og Android-nettlesere er bekreftet som sårbare. Chrome påvirkes imidlertid ikke, og det er heller ikke Internet Explorer og Firefox.
Hvordan kunne dette skje?
På 1990-tallet ønsket den amerikanske regjeringen å kontrollere eksporten av det de anså for å være "våpenklassekryptering". De vil la den sterke 128 bit-krypteringen for sin dag brukes i USA, men Feds ønsket at amerikanske etterretningstjenester og rettshåndhevelse skulle ha “bakdører” når det gjaldt utenlandsk kommunikasjon. En svak krypteringssuite med 40 biter ble introdusert som "eksportgrad" for bruk utenfor USA som amerikanske myndigheter kunne bryte om nødvendig.
Mens de fleste nettlesere ikke har støttet 40-biters suitene på mange år, er de til stede i så mange som en tredjedel av SSL-bibliotekene og nettleserne. Hvis suiten er til stede i en nettleser, kan en angriper montere det som er kjent som et "nedgraderingsangrep", og tvinger bruken av den svake chifferpakken. Bruker en Man-in-the-middle angrepangriper angriperen en prosess mellom nettleseren og serveren for å avskjære og dekryptere meldingene deres.
Dessverre er denne funksjonen fortsatt innebygd i mange webservere, så mange som en tredjedel. En angriper kan tvinge de utsatte klientene og serverne til å bruke de svake eksportgradskrypteringene i HTTPS-tilkoblinger avskjære dekrypterer eller endre meldinger de avskjærer ved hjelp av et midt-angrep.
Hva burde du gjøre?
For at denne typen angrep skal lykkes, må både webserveren og offerets nettleser være sårbar. Hvis du betjener en webserver, bør du deaktivere støtte for eksportsuiter og alle kjente usikre sifre. Du bør aktivere fremtidig hemmelighold. Mozilla har utgitt en guide og SSL Configuration Generator, som vil generere kjente gode konfigurasjoner for vanlige servere.
For nettbrukere kan du sjekke om nettleseren din er sårbar på dette nettstedet:
https://freakattack.com/clienttest.html
Apple og Google skynder seg å løse problemet med nettleseren, men dette kan være et godt tidspunkt å prøve Comodos Chromium-baserte nettleser Comodo Drage eller Firefox-basert Comodo isDragon. Begge har enestående personvern- og sikkerhetsfunksjoner og er gratis å laste ned.
START GRATIS PRØVEPERIODE FÅ DIN KJENTE SIKKERHETSSCORECARD GRATIS
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
- Minting the Future med Adryenn Ashley. Tilgang her.
- Kjøp og selg aksjer i PRE-IPO-selskaper med PREIPO®. Tilgang her.
- kilde: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- : har
- :er
- :ikke
- 40
- 7
- a
- Alle
- tillate
- tillate
- også
- amerikansk
- an
- og
- android
- noen
- eple
- ER
- AS
- At
- angripe
- Myndigheter
- Banking
- basert
- BE
- fordi
- vært
- mellom
- Bit
- Blogg
- både
- Break
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- nettlesere
- bygget
- men
- by
- kom
- CAN
- sjekk
- Chrome
- krom
- chiffer
- klikk
- klienter
- kode
- COM
- forplikte
- Felles
- Kommunikasjon
- kommunikasjon
- Comodo Nyheter
- kompromiss
- Konfigurasjon
- BEKREFTET
- Tilkoblinger
- ansett
- kontroll
- kunne
- Credentials
- kryptografi
- dag
- dekryptere
- Enheter
- gJORDE
- forskjellig
- do
- Nedgradere
- nedlasting
- muliggjøre
- kryptert
- kryptering
- håndhevelse
- Event
- Exploited
- explorer
- eksportere
- ekstremt
- Trekk
- Egenskaper
- FBI
- finansiell
- økonomisk svindel
- Firefox
- Til
- Tving
- utenlandske
- Forward
- svindel
- Gratis
- fra
- generere
- generator
- få
- god
- Regjeringen
- klasse
- veilede
- skje
- Ha
- hjertelig
- Høy
- Men
- HTML
- http
- HTTPS
- identifisert
- if
- Påvirkning
- in
- informasjon
- usikker
- Setter inn
- instant
- Intelligens
- Internet
- Internet Security
- introdusert
- saker
- IT
- DET ER
- jpg
- kjent
- Siste
- I fjor
- Law
- rettshåndhevelse
- bibliotekene
- Logg inn
- mann
- mange
- max bredde
- meldinger
- Middle
- kunne
- mest
- MONTER
- Mozilla
- må
- nødvendig
- nyheter
- få
- of
- on
- ONE
- openssl
- betjene
- or
- utenfor
- plato
- Platon Data Intelligence
- PlatonData
- presentere
- privatliv
- Personvern og sikkerhet
- prosess
- prosjekt
- publisert
- nylig
- referert
- minner
- s
- Safari
- poengkort
- sikkerhet
- send
- sensitive
- Servere
- Tjenester
- bør
- nettstedet
- Nettsteder
- SSL
- Stater
- Still
- sterk
- lykkes
- slik
- suite
- støtte
- Støttes
- Systemer
- Det
- De
- deres
- deretter
- de
- Tredje
- denne
- tid
- til
- prøve
- typen
- oss
- USAs regjering
- forent
- Forente Stater
- uovertruffen
- us
- bruke
- brukt
- Brukere
- ved hjelp av
- leverandør
- Sikkerhetsproblemer
- sårbarhet
- Sårbar
- ønsket
- advarsel
- var
- web
- webserveren
- Hva
- Hva er
- når
- hvilken
- vil
- ville
- år
- år
- Du
- Din
- zephyrnet