Nova HTTPS eksploatacija ostavlja stotine stranica ranjivima

Eksploatacija HTTPS-a ostavlja web-mjesta ranjivima
ronstik / 123RF.com
Istraživači INRIA-e, francuskog nacionalnog istraživačkog instituta za računalne znanosti, osmislili su novi način za dešifriranje tajnih kolačića koji bi vaše lozinke mogli učiniti osjetljivima na krađu.

Karthikeyan Bhargavan i Gaetan Leurent, osmislili su i izveli napad – u laboratoriju za kriptoistraživanje – koji može pirati promet s više od 600 najpopularnijih web stranica i razotkriti vašu prethodno sigurnu prijavu informacija.

Preporučeni videozapisi

Iskorištavanje, nazvano "slatko32’, međutim, nije lako izvesti. Uključuje rudarenje stotina gigabajta podataka i ciljanje na određene korisnike koji su pristupili zlonamjernoj web stranici koja ih je opteretila s malo zlonamjernog softvera. Ipak, poteškoće u izvođenju napada nadmašuju koliko potpuno potkopava neke od najčešćih shema šifriranja na internetu.

Iako je napad vrlo teško izvesti u praksi, postojanje eksploatacije primijetilo je sigurnosne stručnjake u razvojnom timu OpenSSL-a.

Iskopavajući HTTPS ili OpenVPN šifrirani promet, istraživači su mogli upotrijebiti matematički paradoks za identificirati dijelove šifriranih informacija i dešifrirati vjerodajnice za prijavu i lozinku u cijelosti.

Nemojte još paničariti, razgovaraju s stručnjacima za sigurnost Ars Technica uvjereni su da je prijetnja koju predstavlja exploit minimalna, dijelom zbog činjenice da ima relativno jednostavan popravak.

Ključna ranjivost iskorištena u shemi dešifriranja tajnih kolačića nalazi se samo u 64-bitnim blok šiframa, što su programeri OpenVPN-a već riješili u najnovijoj verziji svog VPN softver. Drugi sigurnosni stručnjaci koji su razgovarali s Arsom potvrdili su da eksploatacija predstavlja malu prijetnju sve dok se programeri pridruže i prestanu koristiti 64-bitne blok šifre poput Triple DES ili '3DES'.

“Problem 3DES-a u ovom je trenutku od male praktične važnosti. Samo je pitanje dobre higijene da se počnemo opraštati od 3DES-a,” rekao je Viktor Dukhovni, član OpenSSL tima.

Preporuke urednika

  • Nova greška u WordPressu možda je ostavila 2 milijuna stranica ranjivima
  • Ažurirajte svoj preglednik Google Chrome sada: novi bi vas exploit mogao ostaviti otvorenima za hakiranje
  • Eksploatacija nultog dana Internet Explorera čini datoteke ranjivima na hakiranje na računalima sa sustavom Windows

Nadogradite svoj životni stilDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.