Karthikeyan Bhargavan i Gaetan Leurent opracowali i przeprowadzili atak – w laboratorium badawczym zajmującym się kryptowalutami – który może piracić ruch z ponad 600 najpopularniejszych witryn w Internecie i odsłonić wcześniej bezpieczny login Informacja.
Polecane filmy
Exploit, nazwany „Słodko32”, nie jest jednak łatwe do przeprowadzenia. Polega na wydobywaniu setek gigabajtów danych i atakowaniu konkretnych użytkowników, którzy uzyskali dostęp do złośliwej witryny internetowej, która obciążyła ich odrobiną złośliwego oprogramowania. Mimo to trudność w przeprowadzeniu ataku jest równoważona przez to, jak całkowicie podważa on niektóre z najpopularniejszych schematów szyfrowania w Internecie.
Chociaż atak jest bardzo trudny do przeprowadzenia w praktyce, istnienie exploita zwróciło uwagę ekspertów ds. bezpieczeństwa w zespole programistów OpenSSL.
Wydobywając zaszyfrowany ruch HTTPS lub OpenVPN, badaczom udało się wykorzystać paradoks matematyczny identyfikować fragmenty zaszyfrowanych informacji i odszyfrowywać w całości dane logowania i hasła.
Nie panikuj jeszcze, rozmawiamy z ekspertami ds. bezpieczeństwa Ars Technica są przekonani, że zagrożenie stwarzane przez exploit jest minimalne, częściowo ze względu na fakt, że można go stosunkowo łatwo naprawić.
Kluczowa luka wykorzystywana w schemacie deszyfrowania tajnych plików cookie występuje tylko w 64-bitowych szyfrach blokowych, którymi programiści OpenVPN zajęli się już w najnowszej wersji swojego VPN oprogramowanie. Inni eksperci ds. bezpieczeństwa rozmawiający z Ars potwierdzili, że exploit stwarza niewielkie zagrożenie, o ile programiści dołączą do niego i przestaną używać 64-bitowych szyfrów blokowych, takich jak Triple DES lub „3DES”.
„Kwestia 3DES ma obecnie niewielkie znaczenie praktyczne. Rozpoczęcie pożegnania z 3DES to tylko kwestia higieny” – powiedział Viktor Dukhovni, członek zespołu OpenSSL.
Zalecenia redaktorów
- Nowy błąd WordPressa mógł narazić na ataki 2 miliony witryn
- Zaktualizuj teraz swoją przeglądarkę Google Chrome: nowy exploit może narazić Cię na ataki hakerskie
- Exploit dnia zerowego przeglądarki Internet Explorer naraża pliki na ataki hakerskie na komputerach z systemem Windows
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
