| 0 |
|
Защищенный протокол Интернета HTTPS оказался не столь безопасным, как это было принято считать. Обнаруженная на днях уязвимость SSL/TLS делает возможным перехват зашифрованных коммуникаций между веб-сайтом и браузером мобильного устройства на базе iOS и Android.
О том как можно использовать дефект защиты под названием Freak (Factoring attack on RSA-Export Keys) рассказывается на специально созданном сайте freakattack.com. Freak заставляет браузеры применять старый стандарт шифрования «экспортного класса», который можно взломать в течение 12 часов.
В число потенциальных жертв Freak попали многие устройства Google и Apple (с не пропатченным OpenSSL), большое количество встраиваемых систем и всевозможное ПО, использующее TLS с уязвимыми криптографическими пакетами.
Обнаружившая дефект команда SmackTLS.com особо подчеркивает, что своим возникновением эта проблема обязана государственной политике США в области технологий шифрования: «Эта атака нацелена на класс экспортируемых шифропакетов, намеренно сделанных уязвимыми».
«Экспортными» называют алгоритмы, которые были введены под давлением американского правительства в 90-е годы, для того, чтобы позволить АНБ расшифровывать все иностранные коммуникации. Более сильные алгоритмы были запрещены к экспорту и засекречены как военные технологии.
По мнению Салливана (Sean Sullivan) из F-Secure, для рядовых пользователей Интернета Freak представляет больше теоретическую угрозу, так как хакер должен сначала взломать сервер веб-сайта и лишь после этого может заставить мобильное устройство перейти на уязвимый протокол. Тем не менее, эта уязвимость стала яркой демонстрацией того, как политика введения двойных стандартов в технологиях может ударить по их создателям даже спустя два десятка лет.
В итоге, в зону риска попало почти 10% из первого миллиона ведущих веб-ресурсов, включая сайты American Express, GroupOn и Капитолия.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
