Час читання: 2 протокол
Виявлено вразливість SSL/TLS, яку зловмисники можуть використати, щоб знизити рівень шифрування з’єднань HTTPS до вразливого для дешифрування. дозволяючи зловмисникам прослуховувати зв’язок між браузером і сервером. Серйозність цієї вразливості надзвичайно висока, оскільки зловмисники можуть використовувати її для отримання облікових даних для входу в конфіденційні системи, такі як банківські сайти, для здійснення фінансового шахрайства.
Це нагадує нещодавні уразливості Heartbleed і POODLE, які також можуть бути використані для компрометації зашифрованого зв’язку.
Уразливість, яка отримала назву FREAK-атака, містить код із проекту OpenSSL, як минулого року зробив Heartbleed. Однак вплив різниться залежно від браузера постачальника.
Браузери Apple Safari та Android підтверджено як вразливі. Однак це не стосується Chrome, а також Internet Explorer і Firefox.
Як це могло статися?
У 1990-х роках уряд США хотів контролювати експорт того, що вони вважали «збройовим» шифруванням. Вони дозволили б використовувати потужне, на той час, 128-бітне шифрування в США, але Федеральні органи хотіли, щоб розвідувальні служби США та правоохоронні органи мали «чорні двері», коли справа доходила до іноземних комунікацій. Було представлено слабкий 40-бітний пакет шифрування, який називають «експортним класом» для використання за межами Сполучених Штатів, який американська влада могла б зламати за потреби.
Хоча більшість браузерів роками не підтримували 40-розрядні пакети, вони присутні в третині бібліотек і браузерів SSL. Якщо набір присутній у браузері, зловмисник може здійснити так звану «атаку на пониження», змушуючи використовувати слабкий набір шифрів. Використовуючи a атака людина-в-середині, зловмисник вставляє процес між браузером і сервером для перехоплення та дешифрування їхніх повідомлень.
На жаль, ця функція все ще вбудована в багато веб-серверів, аж у одну третину. Зловмисник може змусити вразливих клієнтів і сервери використовувати слабке шифрування рівня експорту в з’єднаннях HTTPS, які перехоплюють дешифрування або змінюють повідомлення, які вони перехоплюють, використовуючи атаку «людина посередині».
Що потрібно робити?
Щоб цей тип атаки був успішним, як веб-сервер, так і браузер жертви повинні бути вразливими. Якщо ви керуєте веб-сервером, вам слід вимкнути підтримку будь-яких пакетів експорту та всіх відомих незахищених шифрів. Потім слід увімкнути пряму секретність. Mozilla опублікувала посібник і SSL Configuration Generator, який генерує відомі хороші конфігурації для звичайних серверів.
Для користувачів Інтернету ви можете перевірити, чи ваш браузер уразливий на цьому сайті:
https://freakattack.com/clienttest.html
Apple і Google поспішно виправляють проблеми своїх браузерів, але це може бути вдалий час спробувати браузер Comodo на базі Chromium Comodo Dragon або на базі Firefox Comodo iceDragon. Обидва мають неперевершені функції конфіденційності та безпеки, і їх можна завантажити безкоштовно.
ПОЧНІТЬ БЕЗКОШТОВНУ ПРОБУ БЕЗКОШТОВНО ОТРИМАЙТЕ СВОЙ МОМЕНТАЛЬНИЙ СКОРЕКАРД
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
- джерело: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- : має
- :є
- : ні
- 40
- 7
- a
- ВСІ
- дозволяти
- Дозволити
- Також
- американська
- an
- та
- чоловіча
- будь-який
- Apple
- ЕСТЬ
- AS
- At
- атака
- Влада
- Banking
- заснований
- BE
- оскільки
- було
- між
- Біт
- Блог
- обидва
- Перерва
- браузер
- браузери
- побудований
- але
- by
- прийшов
- CAN
- перевірка
- Chrome
- хром
- шифр
- клацання
- клієнтів
- код
- COM
- commit
- загальний
- Комунікація
- зв'язку
- Новини Comodo
- компроміс
- конфігурація
- Підтверджено
- Зв'язки
- вважається
- контроль
- може
- Повноваження
- криптографія
- день
- Розшифрувати
- прилади
- DID
- різний
- do
- Downgrade
- скачати
- включіть
- зашифрованих
- шифрування
- примус
- Event
- експлуатований
- дослідник
- експорт
- надзвичайно
- особливість
- риси
- Федерали
- фінансовий
- фінансові шахрайства
- Firefox
- для
- Примусово
- іноземні
- Вперед
- шахрайство
- Безкоштовна
- від
- породжувати
- generator
- отримати
- добре
- Уряд
- клас
- керівництво
- траплятися
- Мати
- серцевий
- Високий
- Однак
- HTML
- HTTP
- HTTPS
- ідентифікований
- if
- Impact
- in
- інформація
- небезпечно
- Вставки
- мить
- Інтелект
- інтернет
- Internet Security
- введені
- питання
- IT
- ЙОГО
- JPG
- відомий
- останній
- Минулого року
- закон
- правозастосування
- libraries
- Логін
- людина
- багато
- макс-ширина
- повідомлення
- Середній
- може бути
- найбільш
- МОНТАЖ
- Mozilla
- повинен
- необхідний
- новини
- отримувати
- of
- on
- ONE
- OpenSSL
- працювати
- or
- поза
- plato
- Інформація про дані Платона
- PlatoData
- представити
- недоторканність приватного життя
- Конфіденційність та безпека
- процес
- проект
- опублікований
- останній
- називають
- нагадує
- s
- Safari
- показник
- безпеку
- послати
- чутливий
- Сервери
- Послуги
- Повинен
- сайт
- сайти
- SSL
- Штати
- Як і раніше
- сильний
- процвітати
- такі
- набір
- підтримка
- Підтриманий
- Systems
- Що
- Команда
- їх
- потім
- вони
- третій
- це
- час
- до
- намагатися
- тип
- нас
- Уряд США
- United
- Сполучені Штати
- неперевершений
- us
- використання
- використовуваний
- користувачі
- використання
- продавець
- Уразливості
- вразливість
- Вразливий
- хотів
- попередження
- було
- Web
- Веб-сервер
- Що
- Що таке
- коли
- який
- волі
- б
- рік
- років
- Ти
- вашу
- зефірнет