iOS и Mac OS X получат исправление уязвимости ‘FREAK Attack’

FREAK ATTACK

Согласно источнику iMore уязвимость ‘FREAK Attack’ в SSL/TLS активно эксплуатируется сегодня – 05 марта 2015 года! Исследователи Apple подтверждают опасность данного эксплойта. Злоумышленники, теоретически, могут использовать ‘FREAK Attack’ для перехвата через безопасное соединение HTTPS – пользователь будет видеть значок замка сертификата и думать, что он в безопасности, в то время, как злоумышленники понизили уровень шифрования, до такого, который гораздо легче взломать. Safari, как на OS X и iOS, оказались в числе других браузеров, которые могут быть восприимчивы к ‘FREAK Attack’. В компании Apple знают о проблеме и постараются быстро её исправить:

“У нас есть исправление для iOS и OS X,” сказал пресс-секретарь компании Apple представителю iMore. “Патч будет доступен в обновлениях программного обеспечения на следующей неделе.”

‘FREAK Attack’ расшифровывается как “Factoring attack on RSA-EXPORT Keys”. Уязвимость, по-видимому существует уже около десяти лет, но только недавно обнаружена и показана исследователями. Согласно сайта FREAKAttack.com:

Соединение, содержащее уязвимость, позволяет серверу осуществлять RSA_EXPORT ключей используя версию OpenSSL, которая в свою очередь подвержена уязвимости CVE-2015-0204. Уязвимые клиентами являются многие устройства Google и Apple (те, которые используют незащищенные OpenSSL), большое количество встроенных систем, и многие другие программные продукты, использующие TLS-защиту, не отключая уязвимых криптографических наборов.

Вот то, что администраторы веб-сайтов должны сделать:

Если вы работаете администратором веб-сервера, вы должны отключить поддержку любых экспортных комплексов, вместо того, чтобы просто исключить экспорт RSA ключей, мы рекомендуем администраторам отключить поддержку всех известных небезопасных шифров (например, таких как экспортные шифры) и включить на входе защиту. Mozilla опубликовала рекомендации для настройки конфигурации генератора ключей SSL, при использовании которой, будет создана безопасная конфигурация для обоих серверов.

Имеется большой список сайтов, которые на момент написания статьи уязвимы. То есть по возможности, нужно ограничить доступ к ним.

Примерно в середине 20 века, в США ввели закон об ограничении экспорта стойких шифров за пределы страны. Разрешалось экспортировать только специально ослабленные версии шифров, например, с ключами 40 или 56 бит для симметричного и 512 бит для асимметричного шифрования. Ограничения действовали до конца 1992 года, а к началу 2000 года большинство ограничений были сняты. Современные стандарты TLS все еще позволяют использовать такие нестойкие типы шифрования, и некоторые веб-серверы до сих пор позволяют их использовать для установки TLS-соединения. Wachington Post об этом:

Проблема ‘FREAK Attack’ освещает опасность последствий, непредвиденных в то время, когда высшие должностные лица США, разочарованные более сильными формами шифрования для смартфонов, беспокоились об облегчении доступа правоохранительных органов и спецслужб к способам вести наблюдение. Мэттью Д. Грин, шифровальщик Джонса Хопкинса, который помогал исследовать недостатки существующих систем шифрования, заявил, что любое требование, которое ослабляет безопасность, может быть использовано хакерами. “Вы подливаете бензин в огонь”, сказал Грин. “Когда мы говорим, что это сделает вас доступнее, мы говорим, это не просто так.”

Теперь все знают, что “дверь открыта”. Будем надеятся, что вскоре Apple закроет её.

Источник: www.imore.com

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.