Нова HTTPS експлойт залишає сотні сайтів вразливими, але це легко вирішити - Обчислення - 2019

Anonim

Дослідники з INRIA, французького національного науково-дослідного інституту комп'ютерних наук, розробили новий спосіб розшифрувати секретні файли cookie, які можуть залишити ваші паролі вразливими до крадіжки.

Картікян Бхаргаван і Гаетан Леурен, розробили та провели атаку - в криптографічній лабораторії, яка може пірати трафік з більш ніж 600 найпопулярніших сайтів веб-сайтів і закладати попередню безпечну інформацію для входу.

Тим не менш, експлуатація, що називається "Sweet32", нелегко виконати. Вона передбачає видобутку сотень гігабайт даних і націлювання на конкретних користувачів, які отримали доступ до шкідливого веб-сайту, який завадив їм трохи зловмисного програмного забезпечення. Тим не менш, труднощі при здійсненні атаки переважуються лише тим, наскільки повністю він порушує деякі найпоширеніші схеми шифрування Інтернету.

Хоча напад дуже важко здійснити на практиці, існування експлоататора має експертів з безпеки в команді розробників OpenSSL, беручи до уваги.

За допомогою шифрування трафіку HTTPS або OpenVPN дослідники змогли використати математичний парадокс для виявлення частин зашифрованої інформації та розшифровки вхідних даних та паролів у повному обсязі.

Не панікуйте, експерти з безпеки, що виступають із Ars Technica, переконані, що загроза, яку спричиняє експлойт, є мінімальною, частково через те, що вона має відносно просте виправлення.

Ключова вразливість, що використовується в схемі секретної декифінгової дешифрування, знаходиться лише в 64-бітових блочних шифрах, які розробники OpenVPN вже зверталися до останньої версії свого програмного забезпечення VPN. Інші експерти в галузі безпеки, які розмовляють з Ars, підтвердили, що експлойт створює невелику загрозу, поки розробники заходять на борт та припиняють використовувати 64-бітні блочні шифри, такі як Triple DES або 3DES.

"Проблема 3DES практично не має наслідків. Це просто питання хорошої гігієни, щоб почати прощатися з 3DES ", - сказав Віктор Духнові, член команди OpenSSL.