Ένα νέο σφάλμα κρυπτογράφησης έχει εμφανιστεί πρόσφατα, κάτι που θα μπορούσε να αποτελέσει απειλή για την ιδιωτικότητα στο διαδίκτυο. Ονομάζεται "LogJam", το σφάλμα εμφανίζεται στο TSL (Transport Security Layer), ένα πρωτόκολλο κρυπτογράφησης που χρησιμοποιείται για τον έλεγχο ταυτότητας των διακομιστών και για την απόκρυψη του περιεχομένου της ασφαλούς δραστηριότητας του ιστού (όπως η σύνδεσή σας με την τράπεζά σας).
Το σφάλμα επιτρέπει σε έναν άνθρωπο-στο-μεσαίο επιτιθέμενο να αναγκάσει το πρόγραμμα περιήγησής σας, και το διακομιστή με τον οποίο είναι συνδεδεμένος, να χρησιμοποιήσει μια αδύναμη μορφή κρυπτογράφησης που είναι ευάλωτη σε επιθέσεις βίαιης δύναμης. Αυτό σχετίζεται με την ευπάθεια του FREAK SuperFREAK: Η νέα ευπάθεια ασφαλείας Bug επηρεάζει την Ασφάλεια του προγράμματος περιήγησης Desktop & Mobile SuperFREAK: Η νέα ευπάθεια ασφαλείας σφάλματος επηρεάζει την Ασφάλεια προγράμματος περιήγησης Desktop & Mobile Η ευπάθεια FREAK είναι αυτή που επηρεάζει το πρόγραμμα περιήγησής σας και δεν περιορίζεται κανένα πρόγραμμα περιήγησης, ούτε ένα μόνο λειτουργικό σύστημα. Μάθετε εάν επηρεάζεστε και προστατεύετε τον εαυτό σας. Διαβάστε περισσότερα ανακαλύφθηκε και patched νωρίτερα αυτό το έτος. Αυτά τα σφάλματα έρχονται στα τακούνια των πιο καταστροφικών ζητημάτων ασφάλειας όπως το Heartbleed Heartbleed - Τι μπορείτε να κάνετε για να μείνετε ασφαλείς; Heartbleed - Τι μπορείτε να κάνετε για να μείνετε ασφαλείς; Διαβάστε περισσότερα και το ShellShock χειρότερο από το Heartbleed; Γνωρίστε ShellShock: Μια νέα απειλή ασφάλειας για OS X και Linux χειρότερα από Heartbleed; Γνωρίστε ShellShock: Μια νέα απειλή ασφάλειας για OS X και Linux Διαβάστε περισσότερα.
Ενώ οι ενημερωμένες εκδόσεις κώδικα λειτουργούν για τα περισσότερα μεγάλα προγράμματα περιήγησης, η επιδιόρθωση μπορεί να αφήσει χιλιάδες διακομιστές ιστού απρόσιτες έως ότου αναβαθμιστούν με διορθωμένο κώδικα.
Μια στρατιωτική κληρονομιά
Σε αντίθεση με τα περισσότερα τρωτά σημεία ασφαλείας, τα οποία προκαλούνται απλά από την εποπτεία του προγραμματιστή 1.000 εφαρμογές iOS Have Crippling SSL Bug: Πώς να ελέγξετε αν είστε επηρεασμένος 1.000 εφαρμογές iOS έχουν Crippling SSL Bug: Πώς να ελέγξετε αν είστε επηρεασμένος Το bug AFNetworking δίνει στο iPhone και προβλήματα χρηστών του iPad, με 1000 εφαρμογές που φέρουν ευπάθεια, με αποτέλεσμα τα πιστοποιητικά SSL να πιστοποιούνται σωστά, ενδεχομένως διευκολύνοντας την κλοπή ταυτότητας με επιθέσεις από τον άνθρωπο στη μέση. Διαβάστε περισσότερα, αυτή η ευπάθεια είναι τουλάχιστον εν μέρει εκ προθέσεως. Πίσω στις αρχές της δεκαετίας του 1990, όταν ξεκίνησε η επανάσταση του PC, η ομοσπονδιακή κυβέρνηση ανησυχούσε ότι η εξαγωγή ισχυρής τεχνολογίας κρυπτογράφησης σε ξένες δυνάμεις θα μπορούσε να θέσει σε κίνδυνο την ικανότητά της να κατασκοπεύει άλλα έθνη. Εκείνη την εποχή, η ισχυρή τεχνολογία κρυπτογράφησης θεωρήθηκε, νομίμως, ως μια μορφή όπλων. Αυτό επέτρεψε στην ομοσπονδιακή κυβέρνηση να θέσει περιορισμούς στη διανομή της.
Ως αποτέλεσμα, όταν αναπτύχθηκε το SSL (το Secure Socket Layer, προκάτοχος του TSL), αναπτύχθηκε σε δύο γεύσεις - την αμερικανική έκδοση, η οποία υποστηρίζει πλήκτρα πλήρους μήκους 1024 bits ή μεγαλύτερα, και τη διεθνή έκδοση, η οποία ολοκληρώθηκε στα 512 τα οποία είναι εκθετικά ασθενέστερα. Όταν οι δύο διαφορετικές εκδόσεις του SSL μιλούν, επιστρέφουν στο πιο εύκολα σπασμένο κλειδί 512 bit. Οι κανόνες εξαγωγής άλλαξαν λόγω μιας αντίδρασης των πολιτικών δικαιωμάτων, αλλά για λόγους συμβατότητας προς τα πίσω, οι σύγχρονες εκδόσεις του TSL και του SSL εξακολουθούν να έχουν υποστήριξη για κλειδιά 512 bit.
Δυστυχώς, υπάρχει ένα σφάλμα στο τμήμα του πρωτοκόλλου TSL που καθορίζει ποιο μήκος-κλειδί θα χρησιμοποιηθεί. Αυτό το σφάλμα, το LogJam, επιτρέπει σε έναν άνθρωπο-στο-μεσαίο Τι είναι ένας άνθρωπος-στη-μέση επίθεση; Ασφάλεια Jargon Επεξήγηση Τι είναι ένας άνθρωπος-στη-μέση επίθεση; Ασφάλεια Jargon Επεξήγηση Αν έχετε ακούσει για τις επιθέσεις "άνθρωπος-στη-μέση" αλλά δεν είστε σίγουροι τι σημαίνει αυτό, αυτό είναι το άρθρο για εσάς. Διαβάστε περισσότερους επιτιθέμενους για να εξαπατήσουν και τους δύο πελάτες να σκεφτούν ότι μιλούν σε ένα παλαιό σύστημα το οποίο θέλει να χρησιμοποιήσει ένα μικρότερο κλειδί. Αυτό υποβαθμίζει τη δύναμη της σύνδεσης και διευκολύνει την αποκρυπτογράφηση της επικοινωνίας. Αυτό το σφάλμα έχει κρυφτεί στο πρωτόκολλο για περίπου είκοσι χρόνια και μόλις πρόσφατα αποκαλύφθηκε.
Ποιος επηρεάζεται;
Το σφάλμα επηρεάζει αυτήν την περίοδο περίπου το 8% των κορυφαίων ενός εκατομμυρίου ιστότοπων με δυνατότητα HTTPS και ένας μεγάλος αριθμός διακομιστών αλληλογραφίας, οι οποίοι τείνουν να τρέχουν ξεπερασμένο κώδικα. Όλα τα μεγάλα προγράμματα περιήγησης στο Web επηρεάζονται εκτός από τον Internet Explorer. Οι εμπλεκόμενοι ιστότοποι θα εμφανίζουν το πράσινο κλειδί https στο επάνω μέρος της σελίδας, αλλά δεν θα είναι ασφαλείς έναντι κάποιων εισβολέων.
Οι υπεύθυνοι για το πρόγραμμα περιήγησης συμφώνησαν ότι η πιο αξιόπιστη λύση αυτού του προβλήματος είναι να καταργηθεί κάθε υποστήριξη παλαιού τύπου για κλειδιά RSA 512 bit. Δυστυχώς, αυτό θα καταστήσει κάποια τμήματα του Internet, συμπεριλαμβανομένων πολλών διακομιστών αλληλογραφίας, διαθέσιμα μέχρι να ενημερωθεί το υλικολογισμικό τους. Για να ελέγξετε αν το πρόγραμμα περιήγησής σας έχει ενημερωθεί, μπορείτε να επισκεφτείτε έναν ιστότοπο που έχει δημιουργηθεί από τους ερευνητές ασφαλείας που ανακάλυψαν την επίθεση στο weakdh.org.
Επίθεση πρακτική
Πόσο ευάλωτα είναι αυτά τα κλειδιά 512-bit αυτές τις μέρες, ούτως ή άλλως; Για να μάθετε, πρέπει πρώτα να εξετάσουμε τι ακριβώς επιτίθεται. Η ανταλλαγή κλειδιών Diffie-Hellman είναι ένας αλγόριθμος που χρησιμοποιείται για να επιτρέψει σε δύο μέρη να συμφωνήσουν σε ένα κοινό συμμετρικό κλειδί κρυπτογράφησης, χωρίς να το μοιράζονται με ένα υποθετικό snooper. Ο αλγόριθμος Diffie-Hellman βασίζεται σε έναν κοινό πρωτεύοντα αριθμό, ενσωματωμένο στο πρωτόκολλο, που υπαγορεύει την ασφάλειά του. Οι ερευνητές μπόρεσαν να σπάσουν τα πιο συνηθισμένα από αυτά τα πρωταρχικά μέσα σε μια εβδομάδα, επιτρέποντάς τους να αποκρυπτογραφήσουν περίπου το 8% της κίνησης στο Διαδίκτυο, κρυπτογραφημένη με το ασθενέστερο πρωταρχικό 512 bit.
Αυτό θέτει αυτή την επίθεση στο πλάι για έναν "εισβολέα καφέ" - ένας μικροσκοπικός κλέφτης snooping σε συνεδρίες μέσω δημόσιων WiFi 3 Κίνδυνοι από την σύνδεση με το δημόσιο Wi-Fi 3 Κίνδυνοι από την είσοδο στο δημόσιο Wi-Fi Έχετε ακούσει ότι δεν πρέπει μην ανοίξετε το PayPal, τον τραπεζικό σας λογαριασμό και ενδεχομένως ακόμα και το ηλεκτρονικό ταχυδρομείο σας ενώ χρησιμοποιείτε δημόσιο WiFi. Αλλά ποιοι είναι οι πραγματικοί κίνδυνοι; Διαβάστε περισσότερα, και τα πλήκτρα brute-forcing μετά την ανάκτηση των οικονομικών πληροφοριών. Η επίθεση θα ήταν ασήμαντη για εταιρείες και οργανισμούς όπως η NSA, οι οποίοι θα μπορούσαν να διανύσουν σημαντικές προσπάθειες για να δημιουργήσουν έναν άνθρωπο στη μέση επίθεση για κατασκοπεία. Είτε έτσι είτε αλλιώς, αυτό αντιπροσωπεύει έναν αξιόπιστο κίνδυνο για την ασφάλεια, τόσο για τους απλούς ανθρώπους όσο και για όσους μπορεί να είναι ευάλωτοι στο να σκοντάψουν πιο ισχυρές δυνάμεις. Σίγουρα, κάποιος όπως ο Edward Snowden πρέπει να είναι πολύ προσεκτικός για τη χρήση ασύρματου WiFi για το μελλοντικό μέλλον.
Ανησυχητικότερα, οι ερευνητές προτείνουν επίσης ότι τα βασικά πρωτεύοντα που θεωρούνται ασφαλή, όπως το Diffie-Hellman 1024-bit, θα μπορούσαν να είναι ευάλωτα σε επίθεση βίαιων δυνάμεων από ισχυρές κυβερνητικές οργανώσεις. Προτείνουν τη μετάβαση σε σημαντικά μεγαλύτερα μεγέθη κλειδιών για να αποφευχθεί αυτό το πρόβλημα.
Τα δεδομένα μας είναι ασφαλή;
Το σφάλμα LogJam είναι μια ανεπιθύμητη υπενθύμιση των κινδύνων της ρύθμισης της κρυπτογραφίας για σκοπούς εθνικής ασφάλειας. Μια προσπάθεια να αποδυναμωθούν οι εχθροί των Ηνωμένων Πολιτειών έχει καταστραφεί τραυματίζοντας όλους και καθιστώντας όλους μας λιγότερο ασφαλείς. Έρχεται σε μια εποχή που το FBI καταβάλλει προσπάθειες για να αναγκάσει τις εταιρείες τεχνολογίας να συμπεριλάβουν backdoors στο λογισμικό κρυπτογράφησης τους. Υπάρχει πολύ καλή πιθανότητα ότι, αν κερδίσουν, οι συνέπειες για τις επόμενες δεκαετίες θα είναι εξίσου σοβαρές.
Τι νομίζετε; Πρέπει να υπάρξουν περιορισμοί στην ισχυρή κρυπτογραφία; Είναι ασφαλής ο browser σας από το LogJam; Ενημερώστε μας στα σχόλια!
Πιστοποιητικά εικόνας: Cyberwarfare του Ναυτικού των ΗΠΑ, πληκτρολόγιο Hacker, HTTP, NSA Sign by Wikimedia