Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga
/ContentUploads/N5251/brokenlock.jpg

FREAK ‑ Az internet jelentős része lehallgatható

2015.03.04. 15.39
Az elmúlt hetekben biztonsági kutatók egy olyan sebezhetőségre bukkantak a hálózati kommunikáció titkosításánál széleskörűen használt SSL/TLS protokollban, aminek segítségével a támadók a lehallgatások ellen védettnek hitt információcserét is lehallgathatják. Ez elsőre nem tűnik különösen érdekesnek, hallottunk már hasonló esetekről, de itt nem egy véletlen programozói bakinak tudhatjuk be a sérülékenységet, hanem szándékos tervezés egy negatív eredményének.

Az Amerikai Egyesült Államok kormánya ugyanis a 90-es évek végén egy olyan döntést hozott, ami kötelezővé tette a titkosítási megoldásokat fejlesztő cégek számára, hogy az általuk ellenségként megjelölt országokban a szoftverek titkosítókulcs-mérete 1024 bites vagy annál erősebb titkosítás esetén is 512 bitben legyen maximálva. Mindezt természetesen annak érdekében, hogy a kormány könnyebben lehallgathassa az említett országok kommunikációs csatornáit.

Az 512 bites titkosítás manapság már elfogadhatatlanul gyenge. A szakértők nem is hitték, hogy valahol még alkalmazzák.


A dolog viszont balul sült el, aminek következtében a kutatók most rájöttek, hogyan lehet manuálisan rávenni az implementációkat a gyenge, tehát könnyedén lehallgatható 512 bites titkosítás használatára.

Az egyik legelterjedtebb (nyílt forráskódú) titkosítócsomaghoz, az OpenSSL-hez már elkészítették a CVE-2015-0204 kóddal azonosított sebezhetőség javítását, így az elkövetkezendő napokban figyeljünk oda a biztonsági frissítések javítására! A FREAK névre keresztelt támadási metódus weboldala szerint milliónyi szerver és sok százmillió böngésző, mobil eszköz (Android, iPhone, iPad) és beágyazott rendszer lehet érintett a sérülékenységben, amiknek többsége nagy valószínűséggel nem is lesz frissítve a javított OpenSSL verzióval.

Illusztráció: GettingThingsTech
Forrás: The Washington Post FREAK Attack, CVE, OpenSSL

Avast: Az AVG után a CCleanert is felvásárolta
10 éves az Androbit technológiai és tudományos magazin
Új infók vannak a következő Star Wars filmről
Alcatel A5 LED okostelefon teszt – Bulikafon
Felkapott témák
Kiszivárgott a Sharp iPhone-verő okostelefonja
Véget ért az Ubuntu 16.10 támogatása
Alcatel A5 LED okostelefon teszt – Bulikafon
Kaspersky Free – Ingyenes antivírus
Hamarosan beköszönt a POLED kijelzők korszaka
Nem tűnik el a Microsoft Paint
Állásajánlatok
Műszaki ügyfélszolgálatos munkatárs telekommunikációs területre
Simulation Engineer for Connection Technology
Engineer project manager quality
Létesítési koordinátor Nyíregyháza
Projektvezető – fejlesztő- és teszteszközök
E-commerce Project Manager
Gépész tervező, konstruktőr