Уязвимость FREAK в TLS/SSL: проверь свой браузер

Компьютерные системы безопасности

Уязвимость FREAK в TLS/SSL: проверь свой браузер

Сообщение Counter Strike » Вт мар 10, 2015 8:54 pm

Уязвимость FREAK в TLS/SSL
намедни

Проверить свой браузер можно здесь.
Следует помнить, что и ряд других продуктов (например, антивирусы) могут содержать эту уязвимость.


В серверных и клиентских реализациях TLS/SSL обнаружена новая критическая уязвимость, которой дано название FREAK. С её помощью посторонний злоумышленник может перехватывать защищённые соединения и форсировать использование слабой криптографии из «экспортного» набора шифров RSA_EXPORT.

Подобной атаке подвержены популярные клиенты OpenSSL (то есть устройства Android) и Apple TLS/SSL (браузер Safari). Как сообщается, атака работает на большом количестве сайтов, в том числе на сайтах АНБ, Белого дома, Налоговой службы США.

Из российских сайтов «экспортные» шифры загружаются с vesti.ru, alfabank.ru, subscribe.ru, artlebedev.ru, translate.ru и др. Свой сайт можно проверить на уязвимость с тестовой страницы.

Вчера баг устранили на connect.facebook.net (с него загружаются социальные кнопки “Like” от Facebook для множества сторонних сайтов).

Что самое удивительное, этой уязвимости много лет. Она возникла как результат ограничений на экспорт стойкой криптографии, действующих в США ещё с прошлого века. Фактически, сама технология SSL изначально была разработана со встроенной функцией взлома. Это было необходимо, чтобы обойти экспортные ограничения, иначе изобретатель SSL — Netscape Corporation — попросту не смогла бы распространять свой браузер за пределами страны.
Исследователи из Франции и США полагают, что уязвимость могла быть создана сознательно для облегчения работы разведывательных ведомств США, например, всё того же АНБ. Продукты на основе более слабых алгоритмов шифрования поставлялись за рубеж, а экспорт более надёжных решений был запрещён. При этом сайты самой АНБ и ФБР также оказались уязвимы.

Хотя с тех пор большинство ограничений на экспорт сняты или ослаблены, но набор слабых «экспортных» шифров так и остался. Предполагалось, что современные клиенты (веб-браузеры) ни в коем случае не используют его, так что о проблеме забыли. Но сейчас группа исследователей обнаружила, что есть способ провести MiTM-атаку и заставить TLS-клиента использовать «экспортные» шифры с сервера, даже если клиент их не запрашивал.

Экспортные модули RSA максимального размера 512 бит подбираются менее чем за 12 часов в облаке Amazon с расходами в районе $50.

Выборочное сканирование веба показало, что экспортный набор шифров поддерживается на 36,7% сайтов HTTPS. Среди главных «пострадавших» — CDN-провайдер Akamai, который уже работает над закрытием бага.

В OpenSSL уязвимость исправлена в январе этого года. Apple тоже работает над патчем.

В четверг Google обновила браузер Chrome на платформе OS X, закрыв дверь перед FREAK.

Уязвимость затрагивает также продукты Microsoft, в частности, зашифрованные протоколы, используемые в Windows – Secure Sockets Layer (SSL) и Transport Layer Security (TLS).

«Проведенное нами расследование подтвердило, что брешь позволяла атакующему ослабить шифровальные ключи, использующиеся в соединении SSL/TLS на клиентской системе Windows», – отмечается в сообщении Microsoft.

Исправление уязвимости, скорее всего, будет доступно в следующем плановом выпуске Patch Tuesday во вторник, 10 марта. До тех пор специалисты компании рекомендуют отключить алгоритм шифрования RSA.

О бреши FREAK (Factoring RSA Export Keys) стало известно некоторое время назад, когда группа исследователей обнаружила, что может вынудить web-сайты использовать намеренно ослабленное шифрование, которое специалистам удалось взломать в течение нескольких часов. После взлома зашифрованного ресурса злоумышленники могут похищать важные данные, такие как пароли, и подменять элементы на web-странице.
Аватара пользователя
Counter Strike
Вне ТИМов
Вне ТИМов
 
Сообщения: 32559
Зарегистрирован: Вт авг 31, 2010 2:40 am
Медали: 9

Уязвимость FREAK в TLS/SSL: проверь свой браузер

Сообщение mr.Midas » Вт мар 10, 2015 9:01 pm

А мозиловцы-то и тут отличились... :Yahoo!:
Аватара пользователя
mr.Midas
КБ 'Грядущее'
КБ 'Грядущее'
 
Сообщения: 19840
Зарегистрирован: Ср июл 27, 2011 4:52 pm
Медали: 5
Пол: Мужской
Соционический тип: Дон Кихот
Тип по психе-йоге: Эпикур (ФЛЭВ)
Темперамент: Сангвиник
Профессия: Гэльвин в поиске


  • { SIMILAR_TOPICS }
    Ответы
    Просмотры
    Последнее сообщение

Вернуться в Кибербезопасность

Кто сейчас на конференции

Зарегистрированные пользователи: 12341322123, cooler462, Flick, GoGo [Bot], Google [Bot], Yandex 3.0 [Bot], Yandex [Bot]