A hackerek most még titkosított csatornán is hallgathatnak

Avi Rubin: All your devices can be hacked (Lehet 2024)

Avi Rubin: All your devices can be hacked (Lehet 2024)
Anonim
Tartalomjegyzék:
  • A megállapítások
  • Mit kell mondaniuk a szakértőknek?
  • Mit tudsz csinálni?

Ha azt gondolta, hogy az adatok biztonságban vannak, akkor gondoljon újra. Mivel a tudományos tanulmányok szerint azt találták, hogy a TLS 1.3 sebezhetősége miatt a hackerek most biztonságos csatornába léphetnek, és adatokat gyűjthetnek rosszindulatú célokból.

A kutatási cikket a Tel Avivi Egyetem, az Adelaide Egyetem és a Michigan Egyetem, valamint a Weizmann Intézet tette közzé. Ezenkívül az NCC Csoport és az Data61 hasonló megállapításokat is levontak.

A megállapítások

A támadás a tényleges Bleichenbacher oraklám támadás módosított változata, amely a múltban egy RSA titkosított üzenetet dekódolhatott a nyilvános kulcsú kriptográfia segítségével.

Ez az új hullám azonban a TLS 1.3 ellen kíván működni, amely a legújabb verzió a TLS protokollok között. A hatóságok úgy gondolták, hogy biztonságos, de nyilvánvalóan nem az, és ez aggasztó!

Mivel a TLS 1.3 nem támogatja az RSA kulcscserét, a kutatók úgy gondolták, hogy a támadás értékeléséhez a legjobb a leminősített verzióval folytatni, azaz a TLS 1.2 verziót.

Ennek eredményeként olyan alacsonyabb szintű enyhítések, mint például az egyik szerver- és két kliens-oldal, amely megkerüli a downgrade támadást. Így arra a következtetésre jutottunk, hogy ha nagyobb RSA kulcsok lennének, ezeket a támadásokat meg lehetett volna akadályozni, és a kézfogás időtúllépése is lerövidült volna.

Kilenc különféle TLS megvalósítást vizsgáltak; OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL és GnuTLS, amelyekből a BearSSL és a Google BoringSSL biztonságban voltak. A többi sebezhető maradt.

Mit kell mondaniuk a szakértőknek?

Ami a támadásokat illeti, Broderick Perelli-Harris, a Venafi igazgatója úgy véli, hogy 1988 óta jelennek meg a Bleichenbacher variációi alatt. Ezért nem meglepő, hogy a TLS 1.3 szintén sebezhető.

Jake Moore, az ESET UK kiberbiztonsági szakértője azon a véleményen van, hogy a kriptográfiai jellegű támadás nem az első, és nem is az utóbbi. Azt is véleményezi, hogy ez hasonlít a Whac-A-Mole játékára - minden alkalommal, amikor biztonsági javítást alkalmaznak, egy másik felbukkan.

Mit tudsz csinálni?

Összességében a hiba a TLS titkosítási protokoll eredeti sminkjében található. De jelenleg a protokoll megtervezése miatt a javítás az egyetlen út a továbblépéshez.

Mit tehetsz, hogy közben megvédd magad? Használjon kétfaktoros hitelesítést (2FA), tartsa folyamatosan a szoftvert, például a rosszindulatú programok / antivírusokat, erősebb jelszavakat állítson be, és egy tisztességes VPN szolgáltatást, például az Ivacy szoftvert.

BackTrack Security Audit - Hackerek eszközei

BackTrack Security Audit - Hackerek eszközei

A BackTrack egy ingyenes biztonsági ellenőrzési eszközkészlet, amely több száz nyílt forrású biztonsági eszközből áll, amelyeket mind a biztonsági szakemberek, mind a hackerek használnak. Megemlítettem, hogy ingyenes?

4 titkai A vezeték nélküli hackerek nem akarják tudni

4 titkai A vezeték nélküli hackerek nem akarják tudni

Itt van négy titok, hogy a vezeték nélküli hackerek nem szeretnék tudni a vezeték nélküli biztonságról.

Szokatlan módon találja meg életcélját - és még 11 dolog, amit most tudnia kell

Szokatlan módon találja meg életcélját - és még 11 dolog, amit most tudnia kell

Kibocsátjuk a mappákból és az internetről a híres Best of the Web hírlevelünket - csak neked.

Szerkesztő Választása