Οι χάκερ μπορούν τώρα να παρακολουθήσουν ακόμη και σε κρυπτογραφημένο κανάλι

The Dark Side of the Web (Ενδέχεται 2024)

The Dark Side of the Web (Ενδέχεται 2024)
Anonim
Πίνακας περιεχομένων:
  • Τα ευρήματα
  • Τι λένε οι ειδικοί;
  • Τι μπορείς να κάνεις?

Αν σκεφτήκατε ότι τα δεδομένα σας ήταν ασφαλή τότε ξανασκεφτείτε. Επειδή, σύμφωνα με ακαδημαϊκές μελέτες, διαπιστώθηκε ότι λόγω της ευπάθειας του TLS 1.3, οι χάκερ μπορούν πλέον να αξιοποιήσουν ένα ασφαλές κανάλι και να συλλέξουν δεδομένα για κακόβουλο προθέμα.

Το ερευνητικό έγγραφο δημοσιεύτηκε από το Πανεπιστήμιο του Τελ Αβίβ, το Πανεπιστήμιο της Αδελαΐδας και το Πανεπιστήμιο του Μίτσιγκαν καθώς και το Ινστιτούτο Weizmann. Επιπλέον, το NCC Group και το Data61 κατέληξαν επίσης σε παρόμοια συμπεράσματα.

Τα ευρήματα

Η επίθεση είναι τροποποιημένη έκδοση της πραγματικής επίθεσης Bleichenbacher, η οποία κατά το παρελθόν ήταν σε θέση να αποκωδικοποιήσει ένα κρυπτογραφημένο μήνυμα RSA χρησιμοποιώντας κρυπτογραφία δημόσιου κλειδιού.

Αυτό το νέο κύμα, ωστόσο, επιδιώκει να λειτουργήσει εναντίον του TLS 1.3, το οποίο είναι η τελευταία έκδοση μεταξύ των πρωτοκόλλων TLS. Οι αρχές πίστευαν ότι είναι ασφαλές, αλλά προφανώς δεν είναι και αυτό είναι ανησυχητικό!

Δεδομένου ότι το TLS 1.3 δεν υποστηρίζει την ανταλλαγή κλειδιών RSA, οι ερευνητές θεωρούν ότι είναι καλύτερο να προχωρήσουμε με την έκδοση downgrade, δηλ. TLS 1.2 για τον σκοπό της αξιολόγησης της επίθεσης.

Ως αποτέλεσμα, οι μετριασμοί υποβάθμισης, όπως μια πλευρά διακομιστή και δύο πελάτες που παρακάμπτουν την επίθεση υποβάθμισης. Καταλήγοντας έτσι στο συμπέρασμα ότι εάν υπήρχαν μεγαλύτερα κλειδιά RSA, αυτές οι επιθέσεις θα μπορούσαν να είχαν αποφευχθεί και επίσης, το χρονοδιάγραμμα χειραψίας θα είχε μειωθεί.

Εννέα διαφορετικές εφαρμογές TLS μελετήθηκαν. OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL και GnuTLS, από τα οποία το BearSSL και το BoringSSL της Google ήταν ασφαλή. Όλα τα υπόλοιπα παρέμειναν ευάλωτα.

Τι λένε οι ειδικοί;

Όσον αφορά τον αριθμό των επιθέσεων, ο Broderick Perelli-Harris, διευθυντής του σκηνοθέτη στο Venafi πιστεύει ότι έχουν βρεθεί από το 1988 υπό παραλλαγές του Bleichenbacher. Ως εκ τούτου, δεν αποτελεί έκπληξη το γεγονός ότι το TLS 1.3 είναι επίσης ευάλωτο.

Ο Jake Moore, ειδικός στον κυβερνοχώρο του ESET UK, είναι της γνώμης ότι η επίθεση κρυπτογραφικής φύσης δεν είναι η πρώτη και δεν θα είναι η τελευταία του είδους της. Είναι επίσης της γνώμης ότι είναι παρόμοιο με το παιχνίδι του Whac-A-Mole - κάθε φορά που εφαρμόζεται μια ασφάλεια, μια άλλη αναδυθεί.

Τι μπορείς να κάνεις?

Συνολικά, το ελάττωμα βρίσκεται στην αρχική σύνθεση του πρωτοκόλλου κρυπτογράφησης TLS. Αλλά προς το παρόν λόγω του ίδιου του σχεδιασμού του πρωτοκόλλου, το patching είναι ο μόνος τρόπος να προχωρήσουμε.

Τι μπορείτε να κάνετε για να προστατευθείτε εν τω μεταξύ; Χρησιμοποιήστε έλεγχο ταυτότητας δύο παραγόντων (2FA), ενημερώστε το λογισμικό σας, όπως anti-malware / antivirus, ορίζοντας ισχυρότερους κωδικούς πρόσβασης και μια αξιοπρεπή υπηρεσία VPN, όπως το Ivacy.

Χρησιμοποιώντας τα Windows EFS (κρυπτογραφημένο σύστημα αρχείων)

Χρησιμοποιώντας τα Windows EFS (κρυπτογραφημένο σύστημα αρχείων)

Το σύστημα EFS (Encrypted File System) των Windows μπορεί να σας βοηθήσει να προσθέσετε επιπλέον ασφάλεια και προστασία για τα αρχεία σας, για να βεβαιωθείτε ότι δεν έχουν εξουσιοδοτηθεί χρήστες.

Πού να πουλήσετε Μεταχειρισμένες ταινίες - DVD, Blu-ray και ακόμη και VHS

Πού να πουλήσετε Μεταχειρισμένες ταινίες - DVD, Blu-ray και ακόμη και VHS

Αραίωση της συλλογής ταινιών σας; Εδώ μπορείτε να πουλήσετε τις ταινίες που χρησιμοποιείτε για τα περισσότερα χρήματα. Περιλαμβάνει προτάσεις για κασέτες VHS.

Πώς να βρείτε και να κάνετε χρόνο για το πάθος σας ακόμη και όταν είστε απασχολημένοι

Πώς να βρείτε και να κάνετε χρόνο για το πάθος σας ακόμη και όταν είστε απασχολημένοι

Εάν μπορεί να το κάνει, μπορείτε και εσείς.

Επιλογή Συντάκτη