9.9 C
София

FREAK: нова критична уязвимост в TLS/SSL

Най-четени

Даниел Десподовhttps://www.kaldata.com/
Ежедневен автор на новини. Увличам се от съвременни технологии, оръжие, информационна безопасност, спорт, наука и концепцията Internet of Things.

В клиентските и сървърните реализации на TLS/SSL бе разкрита нова критична уязвимост, но която бе дадено името FREAK. С нейна помощ е възможно прихващането на защитената връзка и форсираното използване на по-слабо криптиране чрез „експортния“ комплект шифри RSA EXPORT.

Уязвими към тази атака са всички популярни OpenSSL-клиенти – браузърът Safari на Apple, всички Android-устройства и още много други. Пови се информация, че към тази атака са уязвими огромен брой държавни сайтове, включително сайтовете на АНС, Белия дом, Данъчната агенция на САЩ и други. Създаден е специален сайт (ssllabs.com/ssltest), с помощтта на който се извършва проверка за уязвимост на собствения уеб-сайт.

Оказа се, че тази уязвимост съществува от много години. Тя е резултат от ограниченията, наложени върху експортирането на устойчива криптография от САЩ към другите държави, които са в сила още от миналия век. На практика, самата SSL технология е разработена с вградена възможност за тази атака. Благодарение на тази уязвимост, създателите на SSL – Netscape Corporation са избегнали ограниченията в експорта и са получили възможност да разпространяват своя браузър извън територията на САЩ.

Предполагаше се, че към днешен ден съвременните браузъри не използват този протокол, но сега стана ясно, че е възможно осъществяването на класическа MiTM атака, чрез която TLS клиентът се принуждава да използва друг вид шифроване.

Абонирай се
Извести ме за
guest
4 Коментара
стари
нови
Отзиви
Всички коментари

Нови ревюта

Подобни новини