Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Film
ga
/ContentUploads/N5251/brokenlock.jpg

FREAK ‑ Az internet jelentős része lehallgatható

2015.03.04. 15.39
Az elmúlt hetekben biztonsági kutatók egy olyan sebezhetőségre bukkantak a hálózati kommunikáció titkosításánál széleskörűen használt SSL/TLS protokollban, aminek segítségével a támadók a lehallgatások ellen védettnek hitt információcserét is lehallgathatják. Ez elsőre nem tűnik különösen érdekesnek, hallottunk már hasonló esetekről, de itt nem egy véletlen programozói bakinak tudhatjuk be a sérülékenységet, hanem szándékos tervezés egy negatív eredményének.

Az Amerikai Egyesült Államok kormánya ugyanis a 90-es évek végén egy olyan döntést hozott, ami kötelezővé tette a titkosítási megoldásokat fejlesztő cégek számára, hogy az általuk ellenségként megjelölt országokban a szoftverek titkosítókulcs-mérete 1024 bites vagy annál erősebb titkosítás esetén is 512 bitben legyen maximálva. Mindezt természetesen annak érdekében, hogy a kormány könnyebben lehallgathassa az említett országok kommunikációs csatornáit.

Az 512 bites titkosítás manapság már elfogadhatatlanul gyenge. A szakértők nem is hitték, hogy valahol még alkalmazzák.


A dolog viszont balul sült el, aminek következtében a kutatók most rájöttek, hogyan lehet manuálisan rávenni az implementációkat a gyenge, tehát könnyedén lehallgatható 512 bites titkosítás használatára.

Az egyik legelterjedtebb (nyílt forráskódú) titkosítócsomaghoz, az OpenSSL-hez már elkészítették a CVE-2015-0204 kóddal azonosított sebezhetőség javítását, így az elkövetkezendő napokban figyeljünk oda a biztonsági frissítések javítására! A FREAK névre keresztelt támadási metódus weboldala szerint milliónyi szerver és sok százmillió böngésző, mobil eszköz (Android, iPhone, iPad) és beágyazott rendszer lehet érintett a sérülékenységben, amiknek többsége nagy valószínűséggel nem is lesz frissítve a javított OpenSSL verzióval.

Illusztráció: GettingThingsTech
Forrás: The Washington Post FREAK Attack, CVE, OpenSSL