Хакерите вече могат да подслушват дори и в криптиран канал

How we take back the internet | Edward Snowden (Април 2025)

How we take back the internet | Edward Snowden (Април 2025)
Anonim
Съдържание:
  • Откритията
  • Какво трябва да кажат експертите?
  • Какво можеш да направиш?

Ако смятате, че вашите данни са безопасни, помислете отново. Тъй като според академичните проучвания е установено, че поради уязвимостта на TLS 1.3, хакерите вече могат да се включат в защитен канал и могат да събират данни за злонамерени намерения.

Изследователската книга е публикувана от Университета в Тел Авив, Университета в Аделаида и Мичиганския университет, както и от института Weizmann. Освен това NCC Group и Data61 също са направили сходни заключения.

Откритията

Атаката е модифицирана версия на действителната атака на оракул Bleichenbacher, която в миналото е била в състояние да декодира RSA криптирано съобщение с помощта на криптография с публичен ключ.

Новата вълна обаче се стреми да работи срещу TLS 1.3, която е най-новата версия сред TLS протоколите. Властите смятаха, че е сигурно, но очевидно не е и това е тревожно!

Тъй като TLS 1.3 не поддържа обмен на ключове RSA, изследователите смятат, че е най-добре да продължат с версията за понижаване, т.е. TLS 1.2 за целите на оценка на атаката.

В резултат на понижаването на понижаването, като например една страна на сървъра и страна на два клиента, което заобикаля атаката за понижаване. В заключение, че ако имаше по-големи RSA ключове, тези атаки биха могли да бъдат предотвратени и също така, времето за ръкостискане щеше да се съкрати.

Девет различни TLS реализации бяха проучени; OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL и GnuTLS, от които BearSSL и BoringSSL на Google бяха в безопасност. Всички останали останаха уязвими.

Какво трябва да кажат експертите?

Що се отнася до броя на атаките, Бродерик Перели-Харис, старши директор на Венафи, смята, че те се появяват от 1988 г. насам при вариации на Bleichenbacher. Следователно не е изненадващо, че и TLS 1.3 е уязвим.

Джейк Мур, специалист по киберсигурност в ESET UK, е на мнение, че атаката от криптографски характер не е първата и няма да бъде последната по рода си. Той също е на мнение, че това е близко до играта на Whac-A-Mole - всеки път, когато се прилага корекция за сигурност, се появява друг.

Какво можеш да направиш?

Като цяло недостатъкът е в оригиналния състав на протокола за шифроване на TLS. Но засега поради самия дизайн на протокола кръпка е единственият път напред.

Какво можете да направите, за да се защитите междувременно? Използвайте двуфакторна автентификация (2FA), поддържайте софтуера си актуализиран като анти-злонамерен софтуер / антивирус, задаване на по-силни пароли и прилична VPN услуга като Ivacy.

BackTrack Security Audit - инструменти на хакерите

BackTrack Security Audit - инструменти на хакерите

BackTrack е безплатна инструкция за одит на сигурността, която се състои от стотици инструменти за защита с отворен код, използвани както от специалисти по сигурността, така и от хакери. Споменах ли, че е безплатно?

Потребителите на Alexa вече могат да изтрият историята на гласовите си команди

Потребителите на Alexa вече могат да изтрият историята на гласовите си команди

Amazon пуска поддръжка за потребителите на устройства на Amazon и Alexa, за да изчистят цялата си гласова история за деня само с тази проста команда.

4 начина на партньорство могат да се възползват от вашата организация повече, отколкото дори сте знаели

4 начина на партньорство могат да се възползват от вашата организация повече, отколкото дори сте знаели

Работата заедно е чудесна - но може да бъде и по-добра.

Избор На Редактора