18 530
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
/ContentUploads/N5251/brokenlock.jpg
Kattints ide  ➜

FREAK ‑ Az internet jelentős része lehallgatható

Makay József2015.03.04. 15.39
/ContentUploads/N5251/brokenlock.jpgAz elmúlt hetekben biztonsági kutatók egy olyan sebezhetőségre bukkantak a hálózati kommunikáció titkosításánál széleskörűen használt SSL/TLS protokollban, aminek segítségével a támadók a lehallgatások ellen védettnek hitt információcserét is lehallgathatják. Ez elsőre nem tűnik különösen érdekesnek, hallottunk már hasonló esetekről, de itt nem egy véletlen programozói bakinak tudhatjuk be a sérülékenységet, hanem szándékos tervezés egy negatív eredményének.

Az Amerikai Egyesült Államok kormánya ugyanis a 90-es évek végén egy olyan döntést hozott, ami kötelezővé tette a titkosítási megoldásokat fejlesztő cégek számára, hogy az általuk ellenségként megjelölt országokban a szoftverek titkosítókulcs-mérete 1024 bites vagy annál erősebb titkosítás esetén is 512 bitben legyen maximálva. Mindezt természetesen annak érdekében, hogy a kormány könnyebben lehallgathassa az említett országok kommunikációs csatornáit.

Az 512 bites titkosítás manapság már elfogadhatatlanul gyenge. A szakértők nem is hitték, hogy valahol még alkalmazzák.


A dolog viszont balul sült el, aminek következtében a kutatók most rájöttek, hogyan lehet manuálisan rávenni az implementációkat a gyenge, tehát könnyedén lehallgatható 512 bites titkosítás használatára.

Az egyik legelterjedtebb (nyílt forráskódú) titkosítócsomaghoz, az OpenSSL-hez már elkészítették a CVE-2015-0204 kóddal azonosított sebezhetőség javítását, így az elkövetkezendő napokban figyeljünk oda a biztonsági frissítések javítására! A FREAK névre keresztelt támadási metódus weboldala szerint milliónyi szerver és sok százmillió böngésző, mobil eszköz (Android, iPhone, iPad) és beágyazott rendszer lehet érintett a sérülékenységben, amiknek többsége nagy valószínűséggel nem is lesz frissítve a javított OpenSSL verzióval.

Illusztráció: GettingThingsTech
Forrás: The Washington Post FREAK Attack, CVE, OpenSSL
Kattints ide  ➜

Újabb fotók szivárogtak ki a Samsung Galaxy S8‑ról
G Data antivírus kuponakció mindenkinek!
Az Apple lett az első – 0,3 százalékon a Windows Mobile
Skype Lite – A Microsoft is bemutatta a cukormentes csevegőt
Felkapott témák
Brutálisan magas áron érkezhet a Samsung Galaxy S8
Trump egy Samsung Galaxy S3-mal veszélyezteti az egész világ biztonságát
Az Apple lett az első – 0,3 százalékon a Windows Mobile
Kiderült, hogy mi lesz az Android 8.0 neve
PC-t varázsol a telefonunkból a Remix Singularity
Már megint átszabják a Facebook appot
Állásajánlatok
PLC tesztautomatizáló mérnök
DevOps Engineer - Cloud & BigData Miskolc
Testmanager
Business Analyst / Consultant
Mechanikai fejlesztési csoportvezető
Webfejlesztő
RCC Coordinator with fluent French [ST-UFRCC01]