פרסומת

רומן באג ההצפנה צף לאחרונה, שעלול להוות איום על הפרטיות המקוונת. המכונה "LogJam", הבאג מתרחש ב- TSL (שכבת אבטחת התעבורה), פרוטוקול הצפנה המשמש לאימות שרתים ולהסתרת תוכן של פעילות אינטרנט מאובטחת (כמו כניסה לבנק שלך).

הבאג מאפשר לתוקף איש באמצע לאלץ את הדפדפן שלך, ואת השרת אליו הוא מחובר, להשתמש בצורת הצפנה חלשה הפגיעה להתקפות כוח ברוטה. זה קשור ל- פגיעות 'FREAK' SuperFREAK: פגיעות באג אבטחה חדש משפיעה על אבטחת דפדפן שולחן העבודה והניידהפגיעות ב- FREAK היא המשפיעה על הדפדפן שלך והיא אינה מוגבלת לדפדפן אחד ואף לא מערכת הפעלה אחת. גלה האם אתה מושפע והגן על עצמך. קרא עוד גילה וטלאי מוקדם יותר השנה. חרקים אלה עולים על עקבים של בעיות ביטחון קטסטרופליות יותר כמו פעורי לב פעורי לב - מה אתה יכול לעשות כדי להישאר בטוח? קרא עוד ו הלם קרב גרוע מבעבועות לב? הכירו את ShellShock: איום אבטחה חדש עבור מערכת ההפעלה X ו- Linux קרא עוד .

954px-Internet1

בעוד שהתיקונים פועלים עבור רוב הדפדפנים הגדולים, התיקון עשוי להשאיר אלפי שרתי אינטרנט בלתי נגישים עד שישודרגו אותם עם קוד מתוקן.

מורשת צבאית

בשונה מרוב הפגיעויות האבטחה, שנגרמות

instagram viewer
פשוט על ידי פיקוח על מתכנת 1,000 אפליקציות iOS נכותות באג SSL: כיצד לבדוק אם אתה מושפעהבאג של AFNetworking מעניק למשתמשי iPhone ו- iPad בעיות, כאשר 1000 יישומים נושאים פגיעות וכתוצאה מכך אישורי SSL מאימות נכון, מה שעלול להקל על גניבת זהות דרך אדם באמצע התקפות. קרא עוד , פגיעות זו מכוונת לפחות באופן חלקי. בתחילת שנות התשעים, כשמהפכת המחשבים החלה, הייתה הממשלה הפדרלית חשש כי ייצוא טכנולוגיית הצפנה חזקה למעצמות זרות עלול לפגוע ביכולתה לרגל אחר אומות. בזמנו, טכנולוגיית הצפנה חזקה נחשבה, באופן חוקי, כסוג של נשק. זה איפשר לממשל הפדרלי לשים מגבלות על תפוצתו.

כתוצאה מכך, כשפותחה SSL (שכבת השקע המאובטח, קודמתה ל- TSL), היא פותחה בשני טעמים - הגרסה האמריקאית, אשר תמכו במפתחות באורך מלא 1024 ביט או יותר, ובגרסה הבינלאומית, אשר הוצגה במפתח 512 סיביות, שהם אקספוננציאלית חלש יותר. כאשר שתי הגרסאות השונות של SSL מדברות, הן נופלות למפתח 512 סיביות שבור יותר בקלות. כללי הייצוא שונו עקב התנגשות בזכויות אזרח, אך מסיבות תאימות לאחור, גרסאות מודרניות של TSL ו- SSL עדיין תומכות במפתחות 512 סיביות.

081203-N-2147L-390

למרבה הצער, ישנו באג בחלק של פרוטוקול TSL שקובע באורך המפתח לשימוש. באג זה, LogJam, מאפשר א איש באמצע מהי התקפה של אדם באמצע? הוסבר שפה הביטחוןאם שמעתם על התקפות "איש-באמצע", אך אינך בטוח לגמרי מה זה אומר, זה המאמר בשבילך. קרא עוד התוקף להערים על שני הלקוחות לחשוב שהם מדברים עם מערכת מדור קודם שרוצה להשתמש במפתח קצר יותר. זה משפיל את חוזק החיבור ומקלה על פענוח התקשורת. באג זה הוסתר בפרוטוקול במשך כעשרים שנה, ונחשף רק לאחרונה.

מי מושפע?

הבאג משפיע כרגע על כ -8% ממיליון האתרים המובילים המותאמים ל- HTTPS, ומספר גדול של שרתי דואר, הנוטים להריץ קוד מיושן. כל דפדפני האינטרנט הגדולים מושפעים מלבד סייר האינטרנט. אתרים מושפעים יציגו את נעילת ה- https הירוקה בראש העמוד, אך לא היו בטוחים מפני חלק מהתוקפים.

יצרני הדפדפנים הסכימו שהתיקון החזק ביותר לבעיה זו הוא להסיר את כל התמיכה הקודמת למפתחות 512 סיביות RSA. לרוע המזל, הדבר יתבצע חלק מהאינטרנט, כולל שרתי דואר רבים, שאינם זמינים עד לעדכון הקושחה שלהם. כדי לבדוק אם הדפדפן שלך טופח, אתה יכול לבקר באתר שהוקם על ידי חוקרי האבטחה שגילו את הפיגוע, בשעה weakdh.org.

מעשי התקפה

אז כמה פגיע הוא מפתח 512 סיב בימינו, בכל אופן? כדי לגלות, ראשית עלינו לבדוק בדיוק מה מותקף. החלפת מפתחות דיפי-הלמן היא אלגוריתם המשמש לאפשר לשני צדדים להסכים על מפתח הצפנה סימטרי משותף, מבלי לשתף אותו עם סנופר היפותטי. אלגוריתם דיפי-הלמן מסתמך על מספר ראשוני משותף, מובנה בפרוטוקול, שמכתיב את ביטחונו. החוקרים הצליחו לפצח את הנפוצים ביותר מהפרסים הראשונים תוך שבוע, מה שמאפשר להם לפענח כ -8% מתעבורת האינטרנט שהוצפנה עם פריים 512 סיביות חלש יותר.

זה מציב את ההתקפה הזו בהישג יד של "תוקף בית קפה" - גנב קטנוני לחטט בפגישות באמצעות WiFi ציבורי 3 הסכנות הכרוכות בכניסה לאינטרנט אלחוטי ציבורישמעת שאסור לפתוח את פייפאל, את חשבון הבנק שלך ואולי אפילו את הדוא"ל שלך תוך כדי שימוש ב- WiFi ציבורי. אך מהם הסיכונים בפועל? קרא עוד , ומפתחות בכוח אברץ לאחר מעשה לשחזור מידע פיננסי. ההתקפה תהיה טריוויאלית עבור תאגידים וארגונים כמו ה- NSA, שעלולים לנקוט בהרחבה כדי להקים אדם במתקפה האמצעית לריגול. כך או כך, זה אכן מהווה סיכון ביטחוני אמין, הן עבור אנשים רגילים והן עבור כל מי שעלול להיות חשוף לחטטנות על ידי כוחות חזקים יותר. בהחלט, מישהו כמו אדוארד סנודן צריך להיות זהיר מאוד בשימוש ב- WiFi לא מאובטח בעתיד הנראה לעין.

לוח מקשים 640 פיקסלים עם תאורה אחורית (1)

באופן מדאיג יותר, החוקרים מציעים גם כי אורך ראשוני סטנדרטי הנחשב לבטוח, כמו דיפי-הלמן 1024 סיביות, עשוי להיות פגיע להתקפה של כוח אמיץ על ידי ממשלה רבת עוצמה ארגונים. הם מציעים לעבור לגדלים גדולים יותר באופן משמעותי כדי להימנע מבעיה זו.

האם הנתונים שלנו מאובטחים?

640px-Nsa_sign

באג LogJam הוא תזכורת לא רצויה לסכנות שבוויסות הקריפטוגרפיה למטרות ביטחון לאומי. מאמץ להחליש את אויבי ארצות הברית פגע בכולם והפך את כולנו פחות לבטוחים. זה מגיע בתקופה בה ה- FBI עושה מאמצים להכריח חברות טק כוללים דלתות אחוריות בתוכנת ההצפנה שלהם. יש סיכוי טוב מאוד שאם הם ינצחו, ההשלכות על העשורים הבאים יהיו חמורות לא פחות.

מה אתה חושב? האם צריך להיות מגבלות על קריפטוגרפיה חזקה? האם הדפדפן שלך מאובטח נגד LogJam? ספרו לנו בתגובות!

נקודות זכות: הצי האמריקני של חיל הים, מקלדת האקר, HTTP, סימן NSA מאת ויקימדיה

אנדר מוביל להישאר פונקציונלי עד 50 מעלות צלזיוס, הוא סופר ועיתונאי שבסיסו בדרום מערב. הוא אטום למים בעומק של מטר וחצי.