Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga
/ContentUploads/N5251/brokenlock.jpg

FREAK ‑ Az internet jelentős része lehallgatható

2015.03.04. 15.39
Az elmúlt hetekben biztonsági kutatók egy olyan sebezhetőségre bukkantak a hálózati kommunikáció titkosításánál széleskörűen használt SSL/TLS protokollban, aminek segítségével a támadók a lehallgatások ellen védettnek hitt információcserét is lehallgathatják. Ez elsőre nem tűnik különösen érdekesnek, hallottunk már hasonló esetekről, de itt nem egy véletlen programozói bakinak tudhatjuk be a sérülékenységet, hanem szándékos tervezés egy negatív eredményének.

Az Amerikai Egyesült Államok kormánya ugyanis a 90-es évek végén egy olyan döntést hozott, ami kötelezővé tette a titkosítási megoldásokat fejlesztő cégek számára, hogy az általuk ellenségként megjelölt országokban a szoftverek titkosítókulcs-mérete 1024 bites vagy annál erősebb titkosítás esetén is 512 bitben legyen maximálva. Mindezt természetesen annak érdekében, hogy a kormány könnyebben lehallgathassa az említett országok kommunikációs csatornáit.

Az 512 bites titkosítás manapság már elfogadhatatlanul gyenge. A szakértők nem is hitték, hogy valahol még alkalmazzák.


A dolog viszont balul sült el, aminek következtében a kutatók most rájöttek, hogyan lehet manuálisan rávenni az implementációkat a gyenge, tehát könnyedén lehallgatható 512 bites titkosítás használatára.

Az egyik legelterjedtebb (nyílt forráskódú) titkosítócsomaghoz, az OpenSSL-hez már elkészítették a CVE-2015-0204 kóddal azonosított sebezhetőség javítását, így az elkövetkezendő napokban figyeljünk oda a biztonsági frissítések javítására! A FREAK névre keresztelt támadási metódus weboldala szerint milliónyi szerver és sok százmillió böngésző, mobil eszköz (Android, iPhone, iPad) és beágyazott rendszer lehet érintett a sérülékenységben, amiknek többsége nagy valószínűséggel nem is lesz frissítve a javított OpenSSL verzióval.

Illusztráció: GettingThingsTech
Forrás: The Washington Post FREAK Attack, CVE, OpenSSL

Ma ingyen megszerezheted a Mirage: Arcene Warfare‑t
Apple iPhone X élő közvetítés
Zircon – Átnevezték a Google Fuchsia rendszermagját
HOMTOM S8 akciós okostelefon
Felkapott témák
Figyelem! Feltörték a CCleaner weboldalát, és vírussal fertőzték meg a szoftvert
A legnagyobb torrentoldal kriptopénzt bányásztat a látogatók gépével
Mégsem történt baki az iPhone X bemutatóján?
BlueBorne – Az okos cuccaink többsége súlyos sebezhetőségben érintett
HOMTOM S8 akciós okostelefon
17 éves Windows-hiba rejtheti el a kártevőket az antivírusok elől
Állásajánlatok
IT– Applications Support
Gépészmérnök
Lead Front-end Developer vezető fejlesztő
IT alkalmazás támogató
Rendszergazda
Hálózat üzemeltő mérnök
Infrastructure Engineering Team Lead PB-8039