«

»

Mar 04

FREAK Attack: Απειλή για δημοφιλείς SSL clients

open-sslΤελειωμό δεν έχουν τα προβλήματα ασφαλείας που πρακτικά αφορούν σ’ ολόκληρο το Internet — κι αυτή τη φορά το ρόλο των ευπαθών παικτών έχουν αρκετοί ευρέως χρησιμοποιούμενοι SSL clients.

Η νέα αδυναμία επιτρέπει επιθέσεις Man-in-The-Middle σε συνδέσεις SSL, αφού αρκετοί clients είναι δυνατόν να “πείθονται” και να χρησιμοποιούν ασθενείς για τα σημερινά δεδομένα αλγορίθμους κρυπτογράφησης. Συγκεκριμένα, ερευνητές ανακάλυψαν ότι ορισμένοι SSL clients δέχονται αδύναμα κλειδιά RSA μήκους 512bit, ακόμη κι όταν δεν τα έχουν ζητήσει. Τα κλειδιά RSA 512bit αναφέρονται ως export grade, αφού δεκαετίες πριν η κυβέρνηση των ΗΠΑ είχε επιβάλλει περιορισμούς στην ισχύ των μεθόδων κρυπτογράφησης οι οποίες επιτρεπόταν να χρησιμοποιούνται εκτός της χώρας. Το σκεπτικό ήταν ότι η τότε λεγόμενη “ισχυρή κρυπτογραφία” αποτελούσε “πυρομαχικά”. Τα κλειδιά μήκους 512bit χαρακτηρίζονταν ως “αρκετά ισχυρά” για τις περισσότερες χρήσεις, όχι όμως τόσο ισχυρά ώστε οι μυστικές υπηρεσίες των ΗΠΑ να μένουν στο σκοτάδι.

Συνέχεια στο deltahacker.gr

Σημείωση: Μπορείτε να δείτε εαν ο browser σας είναι ευάλωτος στην παραπάνω ευπάθεια πηγαίνοντας σε αυτήν την ιστοσελίδα https://freakattack.com/

Μετά από δικό μου έλεγχο, οι browsers Firefox v36.0 (Mac – Linux – Windows) και Google Chrome v41.02272 για Mac και v40 για Windows πέρασαν το τεστ με επιτυχία είναι δηλαδή ασφαλής, το τεστ απέτυχε ο Safari 5.1.10 αλλά είναι αρκετά παλιά έκδοση δεν ξέρω οι καινούργιες εκδόσεις του τι κάνουν…

Leave a Reply