Ny HTTPS-utnyttelse gjør hundrevis av nettsteder sårbare

HTTPS-utnyttelse gjør nettsteder sårbare
ronstik / 123RF.com
Forskere ved INRIA, det franske nasjonale forskningsinstituttet for informatikk, har utviklet en ny måte å dekryptere hemmelige informasjonskapsler på som kan gjøre passordene dine sårbare for tyveri.

Karthikeyan Bhargavan og Gaetan Leurent har utviklet og utført et angrep – i et kryptoforskningslaboratorium – som kan piratkopiere trafikk fra over 600 av nettets mest populære nettsteder og avsløre din tidligere sikre pålogging informasjon.

Anbefalte videoer

Utnyttingen, kalt 'Søt 32', er imidlertid ikke lett å gjennomføre. Det involverer utvinning av hundrevis av gigabyte med data, og målretting mot spesifikke brukere som har besøkt et ondsinnet nettsted som ga dem litt skadelig programvare. Likevel er vanskeligheten med å gjennomføre angrepet oppveid av hvor fullstendig det undergraver noen av internetts vanligste krypteringssystemer.

Selv om angrepet er svært vanskelig å gjennomføre i praksis, har sikkerhetseksperter i OpenSSL-utviklingsteamet lagt merke til eksistensen av utnyttelsen.

Ved å utvinne HTTPS eller OpenVPN-kryptert trafikk, var forskerne i stand til å bruke et matematisk paradoks for å identifisere deler av kryptert informasjon og dechiffrere påloggings- og passordlegitimasjon i sin helhet.

Ikke få panikk ennå, snakker sikkerhetseksperter med Ars Technica er overbevist om at trusselen fra utnyttelsen er minimal, delvis på grunn av det faktum at den har en relativt enkel løsning.

Nøkkelsårbarheten som utnyttes i secret-cookie-decryption-scheme finnes bare i 64-bits blokkchiffer, som OpenVPN-utviklere allerede har adressert i den nyeste versjonen av deres VPN programvare. Andre sikkerhetseksperter som snakker med Ars har bekreftet at utnyttelsen utgjør liten trussel så lenge utviklere kommer ombord og slutter å bruke 64-bits blokkchiffer som Triple DES, eller "3DES".

«3DES-spørsmålet har liten praktisk betydning for øyeblikket. Det er bare et spørsmål om god hygiene å begynne å si farvel til 3DES,” sa Viktor Dukhovni, medlem av OpenSSL-teamet.

Redaktørenes anbefalinger

  • En ny WordPress-feil kan ha gjort 2 millioner nettsteder sårbare
  • Oppdater Google Chrome-nettleseren din nå: Ny utnyttelse kan gjøre deg åpen for hacks
  • Internet Explorer nulldagers utnyttelse gjør filer sårbare for hacking på Windows-PCer

Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.