16 646
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 646
/ContentUploads/N5251/brokenlock.jpg
Kattints ide  ➜

FREAK ‑ Az internet jelentős része lehallgatható

Makay József2015.03.04. 15.39
/ContentUploads/N5251/brokenlock.jpgAz elmúlt hetekben biztonsági kutatók egy olyan sebezhetőségre bukkantak a hálózati kommunikáció titkosításánál széleskörűen használt SSL/TLS protokollban, aminek segítségével a támadók a lehallgatások ellen védettnek hitt információcserét is lehallgathatják. Ez elsőre nem tűnik különösen érdekesnek, hallottunk már hasonló esetekről, de itt nem egy véletlen programozói bakinak tudhatjuk be a sérülékenységet, hanem szándékos tervezés egy negatív eredményének.

Az Amerikai Egyesült Államok kormánya ugyanis a 90-es évek végén egy olyan döntést hozott, ami kötelezővé tette a titkosítási megoldásokat fejlesztő cégek számára, hogy az általuk ellenségként megjelölt országokban a szoftverek titkosítókulcs-mérete 1024 bites vagy annál erősebb titkosítás esetén is 512 bitben legyen maximálva. Mindezt természetesen annak érdekében, hogy a kormány könnyebben lehallgathassa az említett országok kommunikációs csatornáit.

Az 512 bites titkosítás manapság már elfogadhatatlanul gyenge. A szakértők nem is hitték, hogy valahol még alkalmazzák.


A dolog viszont balul sült el, aminek következtében a kutatók most rájöttek, hogyan lehet manuálisan rávenni az implementációkat a gyenge, tehát könnyedén lehallgatható 512 bites titkosítás használatára.

Az egyik legelterjedtebb (nyílt forráskódú) titkosítócsomaghoz, az OpenSSL-hez már elkészítették a CVE-2015-0204 kóddal azonosított sebezhetőség javítását, így az elkövetkezendő napokban figyeljünk oda a biztonsági frissítések javítására! A FREAK névre keresztelt támadási metódus weboldala szerint milliónyi szerver és sok százmillió böngésző, mobil eszköz (Android, iPhone, iPad) és beágyazott rendszer lehet érintett a sérülékenységben, amiknek többsége nagy valószínűséggel nem is lesz frissítve a javított OpenSSL verzióval.

Illusztráció: GettingThingsTech
Forrás: The Washington Post FREAK Attack, CVE, OpenSSL
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
Gooligan és AirDroid ‑ Sok millió Android van veszélyben
Hamarosan Apple‑drónok fognak repkedni a fejünk felett
A következő Apple Watch okosóra már kör alakú lehet
A Huawei Mate 9 december elejétől Magyarországon is elérhető
Felkapott témák
Ezek a különbségek az iPhone- és Android-felhasználók között
Ezek a jelenleg kapható legerősebb okostelefonok
Ezek a Huawei-készülékek kapják meg az Android 7.0 Nougat frissítést
Ingyenes nCore regisztráció - Újabb csalók próbálkoznak
A Firefox 0-day sebezhetőségével leplezik le a Tor-felhasználókat
A Sailfish OS most megelőzheti a Windows Mobile platformot
Állásajánlatok
Service Desk Service Operations & Implementation Manager
Teszt mérnök Veszprém
Termékmenedzser
Preintegration responsible TFS - Healthcare terület
C++ fejlesztő junior és senior HF 11-7929
Customer Security Manager
Marketing asszisztens