Hakerzy mogą teraz podsłuchiwać nawet na zaszyfrowanym kanale

[#104] Z życia cyberprzestępcy, czyli jak trudno pozostać niezłapanym złodziejem - Adam Haertle (Może 2024)

[#104] Z życia cyberprzestępcy, czyli jak trudno pozostać niezłapanym złodziejem - Adam Haertle (Może 2024)
Anonim
Spis treści:
  • Znaleziska
  • Co mówią eksperci?
  • Co możesz zrobić?

Jeśli uważasz, że Twoje dane są bezpieczne, pomyśl jeszcze raz. Ponieważ według badań akademickich stwierdzono, że ze względu na lukę w zabezpieczeniach TLS 1.3 hakerzy mogą teraz korzystać z bezpiecznego kanału i zbierać dane w złych zamiarach.

Opracowanie zostało opublikowane przez Uniwersytet w Tel Awiwie, University of Adelaide i University of Michigan oraz Weizmann Institute. Ponadto NCC Group i Data61 również doszły do ​​podobnych wniosków.

Znaleziska

Atak jest zmodyfikowaną wersją rzeczywistego ataku wyroczni Bleichenbachera, który w przeszłości był w stanie zdekodować zaszyfrowaną wiadomość RSA przy użyciu kryptografii klucza publicznego.

Ta nowa fala próbuje jednak działać przeciwko TLS 1.3, która jest najnowszą wersją wśród protokołów TLS. Władze uważały, że jest to bezpieczne, ale najwyraźniej nie jest i to jest alarmujące!

Ponieważ TLS 1.3 nie obsługuje wymiany kluczy RSA, naukowcy uznali, że najlepiej będzie przejść do wersji obniżonej, tj. TLS 1.2 w celu oceny ataku.

W wyniku tego obniżenie poziomu zabezpieczeń, takie jak jedna strona po stronie serwera i po stronie dwóch klientów, omija atak polegający na obniżeniu wersji. Stwierdzając więc, że gdyby były większe klucze RSA, można by zapobiec tym atakom, a także skrócić czas oczekiwania na uzgadnianie.

Zbadano dziewięć różnych implementacji TLS; OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL i GnuTLS, z których BearSSL i Google BoringSSL były bezpieczne. Wszystkie pozostałe pozostały bezbronne.

Co mówią eksperci?

Jeśli chodzi o liczbę ataków, Broderick Perelli-Harris, s. Dyrektor w Venafi uważa, że ​​pojawiały się od 1988 r. W odmianach Bleichenbacher. Dlatego nie jest zaskakujące, że TLS 1.3 jest również podatny na ataki.

Jake Moore, specjalista ds. Bezpieczeństwa cybernetycznego w ESET UK jest zdania, że ​​atak natury kryptograficznej nie jest pierwszym i nie będzie ostatnim tego rodzaju. Jest także zdania, że ​​jest to podobne do gry Whac-A-Mole - za każdym razem, gdy stosowana jest poprawka bezpieczeństwa, pojawia się kolejne.

Co możesz zrobić?

Podsumowując, wadą jest oryginalny skład protokołu szyfrowania TLS. Ale na razie ze względu na samą konstrukcję protokołu łatanie jest jedynym rozwiązaniem.

Co możesz zrobić, aby w międzyczasie się chronić? Korzystaj z uwierzytelniania dwuskładnikowego (2FA), aktualizuj oprogramowanie, takie jak oprogramowanie antywirusowe / antywirusowe, ustawiaj silniejsze hasła i przyzwoitą usługę VPN, taką jak Ivacy.

Co to są hakerzy Black Hat i White Hat?

Co to są hakerzy Black Hat i White Hat?

Istnieją trzy szerokie grupy współczesnych hakerów komputerowych: czarny kapelusz, biały kapelusz i szary kapelusz. W tym artykule wyjaśniono hakerów i ich kolory kapelusza.

Użytkownicy Alexa mogą teraz usunąć swoją historię poleceń głosowych

Użytkownicy Alexa mogą teraz usunąć swoją historię poleceń głosowych

Amazon wydaje wsparcie dla użytkowników urządzeń Amazon i Alexa, aby wyczyścić całą historię głosową za pomocą tego prostego polecenia.

Uwaga: hakerzy kradną 9,4 miliona skradzionych danych osobowych

Uwaga: hakerzy kradną 9,4 miliona skradzionych danych osobowych

Linie lotnicze Cathay Pacific zostały zaatakowane, gdy naruszenie bezpieczeństwa doprowadziło do utraty 9,4 miliona danych osobowych. Artykuł opisuje, w jaki sposób możesz pozostać chroniony.

Wybór Redakcji