Karthikeyan Bhargavan ו- Gaetan Leurent, המציאו וביצעו מתקפה - במעבדת מחקר קריפטו - אשר יכול פיראט תנועה מיותר מ-600 מהאתרים הפופולריים ביותר באינטרנט ולחשוף את הכניסה המאובטחת שלך בעבר מֵידָע.
סרטונים מומלצים
הניצול, שכונה 'מתוק32', לא קל לביצוע, עם זאת. זה כרוך בכרייה של מאות ג'יגה-בייט של נתונים, ומיקוד למשתמשים ספציפיים שניגשו לאתר זדוני שהרכיב עליהם מעט תוכנות זדוניות. ובכל זאת, הקושי בביצוע המתקפה מתגבר על כמה שהיא מערערת כמה מתכניות ההצפנה הנפוצות ביותר באינטרנט.
למרות שהמתקפה קשה מאוד לביצוע בפועל, לקיום הניצול יש מומחי אבטחה בצוות הפיתוח של OpenSSL לשים לב.
על ידי כריית תעבורה מוצפנת HTTPS או OpenVPN, החוקרים הצליחו להשתמש בפרדוקס מתמטי כדי לזהות חלקים של מידע מוצפן ולפענח את פרטי הכניסה והסיסמה בשלמותם.
אל תיבהל עדיין, מומחי אבטחה מדברים איתם Ars Technica משוכנעים שהאיום הנשקף מהניצול הוא מינימלי, בין היתר בשל העובדה שיש לו תיקון פשוט יחסית.
פגיעות המפתח המנוצלת ב- Secret-Cookie-Decryption- Scheme נמצאת רק בצפני בלוק של 64 סיביות, שמפתחי OpenVPN כבר התייחסו אליהם בגרסה העדכנית ביותר שלהם VPN תוֹכנָה. מומחי אבטחה אחרים ששוחחו עם Ars אישרו כי הניצול מהווה איום מועט כל עוד מפתחים נכנסים לסיפון ומפסיקים להשתמש בצפני בלוק של 64 סיביות כמו Triple DES, או '3DES'.
"נושא ה-3DES הוא בעל השפעה מעשית קטנה בשלב זה. זה רק עניין של היגיינה טובה להתחיל להיפרד מ-3DES", אמר ויקטור דוכובני, חבר בצוות OpenSSL.
המלצות עורכים
- ייתכן שבאג חדש של וורדפרס הותיר 2 מיליון אתרים פגיעים
- עדכן את דפדפן Google Chrome שלך עכשיו: ניצול חדש עלול להשאיר אותך פתוח לפריצות
- ניצול יום אפס של Internet Explorer הופך קבצים לפגיעים לפריצות במחשבי Windows
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
