Criptografia breaks velho bug internet 20 ano: como saber se o seu navegador é afetado

Video: Week 5

Um romance bug criptografia veio à tona recentemente, o que poderia representar uma ameaça à privacidade online. Apelidado de “impasse”, o erro ocorre no TSL (o Transport Layer Security), um protocolo de criptografia usado para autenticar servidores e ocultar o conteúdo de atividade na web seguro (como o seu login do banco).

O bug permite que um atacante man-in-the-middle para forçar o navegador eo servidor está conectado, para usar uma forma fraca de criptografia que é vulnerável ataques de força bruta para. Isto está relacionado com o vulnerabilidade ‘Freak` descoberto e corrigido no início deste ano. Esses erros vêm nos saltos de problemas de segurança mais catastróficos como heartbleed e Trauma pós guerra.Superfreak: New vulnerablity Segurança bug afeta desktop & Segurança do Navegador móvelSuperfreak: New vulnerablity Segurança bug afeta desktop & Segurança do Navegador móvelA vulnerabilidade FREAK é aquele que afeta o seu navegador, e não se limita a qualquer um navegador, nem qualquer sistema operacional único. Descubra se você é afetado e proteger-se.consulte Mais informação

954px-Internet1

Enquanto manchas estão em obras para a maioria dos principais navegadores, a correção pode deixar milhares de servidores web inacessíveis até que eles estão atualizados com código corrigido.

A Legacy Militar

Ao contrário da maioria das vulnerabilidades de segurança, que são causados simplesmente supervisão programador, esta vulnerabilidade é pelo menos parcialmente intencional. Voltar no início de 1990, quando a revolução do PC começou, o governo federal estava preocupado que a exportação de tecnologia de criptografia forte para potências estrangeiras poderia comprometer a sua capacidade para espiar outras nações. Na época, forte tecnologia de criptografia foi considerado, legalmente, ser uma forma de armamento. Isso permitiu ao governo federal para colocar limitações sobre a sua distribuição.1.000 iOS Apps Tenha Bug SSL Crippling: Como verificar se você é afetado1.000 iOS Apps Tenha Bug SSL Crippling: Como verificar se você é afetadoO bug AFNetworking está dando para iPhone e iPad problemas de usuários, com 1000s de aplicativos transportando uma vulnerabilidade resultando em certificados SSL de ser corretamente autenticado, potencialmente facilitando o roubo de identidade por meio de ataques man-in-the-middle.consulte Mais informação

Video: CS50 Live, Episode 007

Como resultado, quando o SSL (Secure Socket Layer, antecessor de TSL) foi desenvolvido, foi desenvolvido em dois sabores - a versão dos EUA, que apoiou chaves completos de 1024 bits ou mais, ea versão internacional, que cobriu para fora em 512 teclas de bits, que são exponencialmente mais fraca. Quando as duas versões diferentes do talk SSL, eles caem de volta para a chave de 512 bits mais facilmente quebrado. As regras de exportação foram alteradas devido a uma reação dos direitos civis, mas por razões de retro-compatibilidade, as versões modernas de TSL e SSL ainda tem suporte para 512 chaves bit.

081203-N-2147L-390

Infelizmente, há um erro na porção do protocolo TSL que determina que uma chave de comprimento de usar. Este bug, impasse, permite uma homem no meio atacante para enganar tanto os clientes a pensar que estamos falando de um sistema legado que quer usar uma chave mais curta. Isto degrada a força da conexão, e torna mais fácil de decifrar a comunicação. Este erro foi escondido no protocolo para cerca de vinte anos, e só recentemente foi descoberto.O que é um-The-Middle Man-no ataque? Segurança jargão explicadoO que é um-The-Middle Man-no ataque? Segurança jargão explicadoconsulte Mais informação

Video: Computational Thinking - Computer Science for Business Leaders 2016

Quem é afetado?



O bug afeta atualmente cerca de 8% dos top um milhão de sites HTTPS habilitados, e um grande número de servidores de correio, que tendem a executar código desatualizado. Todos os principais navegadores são afetados, exceto o Internet Explorer. sites afetados iria mostrar os https verdes bloquear no topo da página, mas não seria seguro contra alguns atacantes.

fabricantes de navegadores concordaram que a correção mais robusta para este problema é remover todo o suporte legado para chaves RSA de 512 bits. Infelizmente, isso tornará uma parte da Internet, incluindo muitos servidores de correio, indisponíveis até que o firmware é atualizado. Para verificar se o seu navegador tenha sido corrigido, você pode visitar um site criado pelos pesquisadores de segurança que descobriram o ataque, pelo weakdh.org.

Praticidade ataque

Então, como vulnerável é um 512-bit chave nos dias de hoje, de qualquer maneira? Para descobrir isso, primeiro temos que olhar exatamente o que está sendo atacado. Diffie-Hellman de troca de chaves é um algoritmo usado para permitir que duas partes chegarem a acordo sobre uma chave de criptografia simétrica compartilhada, sem compartilhá-la com um bisbilhoteiro hipotética. O algoritmo Diffie-Hellman depende de um número primo-compartilhada, construída no protocolo, que dita a sua segurança. Os pesquisadores foram capazes de decifrar o mais comum desses números primos dentro de uma semana, o que lhes permite decifrar cerca de 8% do tráfego da Internet que foi criptografado com o primeiro-512-bit mais fraca.

Isso coloca este ataque ao alcance de um “atacante café” - um ladrão bisbilhotando em sessões via WiFi pública, e teclas de forçar bruta após o fato para recuperar informações financeiras. O ataque seria trivial para corporações e organizações como a NSA, que pode ir para comprimentos consideráveis ​​para criar um ataque man-in-the-middle para espionagem. De qualquer maneira, isso não representa um risco de segurança credível, tanto para as pessoas comuns e qualquer um que podem ser vulneráveis ​​à espionagem por forças mais potentes. Certamente, alguém como Edward Snowden deve ser muito cuidadoso sobre o uso de WiFi sem garantia para o futuro previsível.3 perigos da exploração madeireira sobre a Public Wi-Fi3 perigos da exploração madeireira sobre a Public Wi-FiVocê já ouviu falar que você não deve abrir PayPal, sua conta bancária e, possivelmente, até mesmo o seu e-mail enquanto estiver usando Wi-Fi público. Mas quais são os riscos reais?consulte Mais informação

640-Backlit_keyboard (1)

Mais preocupante, os pesquisadores também sugerem que primeiros-comprimentos normalizados que sejam considerados seguros, como 1024 bits Diffie-Hellman, pode ser vulnerável a força bruta ataque por organizações governamentais poderosos. Eles sugerem a migração para substancialmente chave tamanhos maiores para evitar este problema.

É Nossos dados estão seguros?

640-Nsa_sign

O bug impasse é um lembrete desagradável dos perigos da regulação criptografia para fins de segurança nacional. Um esforço para enfraquecer os inimigos dos Estados Unidos tem acabou prejudicando a todos, e fazer todos nós menos seguros. Ele vem em um momento em que o FBI está fazendo esforços para forçar as empresas de tecnologia para incluir backdoors em seu software de criptografia. Há uma boa chance de que, se vencerem, as consequências para as próximas décadas vai ser tão sério.

O que você acha? Caso haja restrições à criptografia forte? É o seu browser seguro contra impasse? Deixe-nos saber nos comentários!


Artigos relacionados