The OpenNET Project
 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

04.03.2015 13:56  Новая атака на SSL/TLS, позволяющая организовать перехват HTTPS-трафика

Исследователи из французского института INRIA выявили новый вид атаки на SSL/TLS, который получил название FREAK, по аналогии с ранее выявленными атаками POODLE, BREACH, CRIME и BEAST. Суть атаки сводится к инициированию отката соединения на использование разрешённого для экспорта набора шифров, включающего недостаточно защищённые устаревшие алгоритмы шифрования. Проблема позволяет вклиниться в соединение и организовать анализ трафика в рамках защищённого канала связи, используя уязвимость (CUA-56825245-3), выявленную во многих SSL-клиентах и позволяющую сменить шифры RSA на RSA_EXPORT и выполнить дешифровку трафика, воспользовавшись слабым эфемерным ключом RSA.

Предоставляемый в RSA_EXPORT 512-битный ключ RSA уже давно не применяется в серверном и клиентском ПО, так как считается небезопасным и подверженным атакам по подбору. Для подбора ключа RSA-512 исследователям потребовалось около семи с половиной часов при запуске вычислений в окружении Amazon EC2. Ключ достаточно подобрать для каждого сервера один раз, после чего подобранный ключ может использоваться для перехвата любых соединений с данным сервером (mod_ssl по умолчанию при запуске сервера генерирует один экспортный RSA-ключ и повторно использует его для всех соединений).

На стороне клиента уязвимость затрагивает OpenSSL (исправлено в 0.9.8zd, 1.0.0p и 1.0.1k), браузер Safari и разнообразные встраиваемые и мобильные системы, включая Google Android и Apple iOS. Что касается серверов, то сканирование сети показало, что набор RSA_EXPORT поддерживается приблизительно на 36.7% из общей массы сайтов и на 9.7% из миллиона крупнейших сайтов. Для защиты сервера на базе Apache к параметрам директивы SSLCipherSuite следует добавить "!EXPORT". Протестировать сайт на наличие уязвимости можно на данной странице.

Дополнение: Проблеме также оказались подвержены клиентские и серверные выпуски ОС Windows.

  1. Главная ссылка к новости (http://blog.cryptographyengineering.com/...)
  2. OpenNews: Новый вид атаки на HTTPS ставит под вопрос дальнейшее существование SSL 3.0
  3. OpenNews: Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений
  4. OpenNews: Представлен новый вид атаки по перехвату данных, передаваемых через HTTPS-соединения
  5. OpenNews: Атака по подбору RSA-ключей
  6. OpenNews: Уязвимость в SSLv3 может использоваться и для атаки на некоторые сайты с TLS
Тип: Интересно / Проблемы безопасности
Ключевые слова: ssl, tls, https, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
Обсуждение Линейный вид (Ajax) | Показать все | RSS
 
  • 1.1, Аноним, 14:16, 04/03/2015 [ответить] [смотреть все]
  • +6 +/
    Это не баг, это фича (c)
     
     
  • 2.25, Аноним, 16:56, 04/03/2015 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    или к вопросу почему уйма фич и легаси в протоколе - это плохо ... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, Аноним, 14:39, 04/03/2015 [ответить] [смотреть все]  
  • +6 +/
    > RSA_EXPORT 512-битный ключ RSA

    Надежное шифрование от NSA :)

     
  • 1.3, Аноним, 14:43, 04/03/2015 [ответить] [смотреть все]  
  • +/
    по ссылке не видно проверки на эту атаку ... весь текст скрыт [показать]
     
  • 1.4, Аноним, 14:45, 04/03/2015 [ответить] [смотреть все]  
  • –5 +/
    Шикарный тест Результат В Ни комментариев, ни данных по трактовке ... весь текст скрыт [показать]
     
     
  • 2.6, lolshto, 14:51, 04/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    На линк тестируемого сайта в репорте кликни и получишь полный отчет ... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, Аноним, 14:45, 04/03/2015 [ответить] [смотреть все]  
  • –6 +/
    Звиздец, только openssl обновлял, это ж пол сервера надо будет перекомпилить ... весь текст скрыт [показать]
     
     
  • 2.7, Crazy Alex, 14:53, 04/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    А зачем ты на старую версию обновлял В OpenSSL дыру закрыли 15 января ... весь текст скрыт [показать] [показать ветку]
     
  • 2.9, demimurych, 14:55, 04/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    хм неужели кто то еще на боевых серверах что то перекомпилирует, а не пользуетс... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, user455, 11:42, 11/03/2015 [^] [ответить] [смотреть все]  
  • +/
    в аду есть отдельный зал с повышенной температурой горения. там держат тех, кто при жизни говорил репозитарий вместо репозитория.
     
  • 2.10, ryoken, 14:58, 04/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Gentoo Hardened ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, Аноним, 15:09, 04/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Да ... весь текст скрыт [показать]
     
     
  • 4.21, ананим.orig, 15:59, 04/03/2015 [^] [ответить] [смотреть все]  
  • +5 +/
    Нет И cудя по фэку, сомневаюсь что вы компетенты ВООБЩЕ, чтобы установить генту... весь текст скрыт [показать]
     
  • 3.16, Mike Lee, 15:30, 04/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    А что, в hardened статически линкуется ... весь текст скрыт [показать]
     
     
  • 4.22, ананим.orig, 16:01, 04/03/2015 [^] [ответить] [смотреть все]  
  • +5 +/
    Да это ламер выпендрился Может вообще линух только на лив-цд и видел только ... весь текст скрыт [показать]
     
  • 3.23, Аноним, 16:18, 04/03/2015 [^] [ответить] [смотреть все]  
  • +4 +/
    Hentoo Gardened ... весь текст скрыт [показать]
     
  • 2.17, Аноним, 15:36, 04/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А зачем у тебя конфигурация ssl-сервисов допускает использование небезопасных ши... весь текст скрыт [показать] [показать ветку]
     
  • 2.26, Аноним, 17:14, 04/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А ты что, статически линкуешь всё с ssl ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, pavlinux, 18:22, 04/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    А чё самое ох енное - у все выше отписавшихся нет ни одного сервера, видимо, к... весь текст скрыт [показать]
     
     
  • 4.33, Аноним, 01:22, 05/03/2015 [^] [ответить] [смотреть все]  
  • +/
    А ты домой ходешь с миноискателем Химзу дома не забыл Каску одел Бронежилет в... весь текст скрыт [показать]
     
     
  • 5.35, ананим.orig, 01:55, 05/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Вот так ламерюги и окупировали опеннет Нет чтобы просто спросить, если что не п... весь текст скрыт [показать]
     
  • 5.43, arisu, 15:30, 10/03/2015 [^] [ответить] [смотреть все]  
  • +/
    > Каску одел?

    во что? и зачем ты занимаешься одеванием каски? ты сумасшедший?

     
  • 1.14, Аноним, 15:16, 04/03/2015 [ответить] [смотреть все]  
  • +1 +/
    http dayswithoutansslexploit com... весь текст скрыт [показать]
     
     
  • 2.31, Аноним, 22:45, 04/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    https istheinternetonfire com dig short txt istheinternetonfire com ... весь текст скрыт [показать] [показать ветку]
     
  • 1.27, Аноним, 17:41, 04/03/2015 [ответить] [смотреть все]  
  • –1 +/
    Посоны, а какое шифрование сейчас можно экспортировать из США и есть ли исключен... весь текст скрыт [показать]
     
     
  • 2.29, Нанобот, 20:00, 04/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    это смотря куда экспортировать одно дело, если в банановые республики типа сома... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.30, Аноним, 21:05, 04/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Публикуя аппы с шифрованием в гугл плее например То есть для всех доступных там... весь текст скрыт [показать]
     
  • 1.32, Аноним, 22:49, 04/03/2015 [ответить] [смотреть все]  
  • –2 +/
    SELinux помогает от таких дырок ... весь текст скрыт [показать]
     
     
  • 2.34, Аноним, 01:25, 05/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Не больше чем миноискатель помогает от падения сосульки на голову ... весь текст скрыт [показать] [показать ветку]
     
  • 2.37, ананим.orig, 06:17, 05/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это не дыра, это штатная функциональность Которая просто устарела А может спец... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, Аноним, 07:29, 05/03/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Это и называется - дыра ... весь текст скрыт [показать]
     
  • 3.42, Andrew Kolchoogin, 06:14, 10/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Угу. Устарело у них...

    [поездивший по миру mode on]

    Во Франции это скажите. Там полицейский департамент быстро вам пояснит, у кого и что устарело.

    [поездивший по миру mode off]

    В мире, увы, бывают и "очень странные страны". Причём неочевидно странные.

     
  • 1.36, Аноним, 03:19, 05/03/2015 [ответить] [смотреть все]  
  • +2 +/
    Интернет 2 спасёт безысходное положение ... весь текст скрыт [показать]
     
     
  • 2.45, Мицгол, 20:29, 11/03/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    нет, только Векторный Гипертекстовый Фидонет
     

    Ваш комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:
     
    Навигация
     
     Новости для экспорта XML
     В социальных сетях:  twitter  
     Сводные | за день | мини-новости
     Разделы новостей
     Что нового на OpenNet
     Поиск в новостях
     Новые комментарии
     Добавить свою новость

    Важное
    - 25.03 Релиз GNOME 3.16. Обзор новшеств (124 +50)

    Советы
    - 18.03 Подготовка качественных GIF-файлов из видео при помощи FFmpeg
    - 13.03 Обновление Debian Wheezy до Debian Jessie, не дожидаясь официального релиза
    - 12.03 Подавление шумов средствами PulseAudio
    - 23.02 Создание интерактивных графических моделей в CAS MAXIMA при использовании ОС GNU Linux
    - 05.02 Мониторинг температуры в Zabbix с использованием Digitemp

    Обсуждаемые новости
    - 23:06 Выпуск открытого медиацентра Kodi 14.2 (бывший XBMC)  (16)
    - 22:42 Космическое агентство NASA открыло код платформы для создани (20)
    - 22:35 Релиз Samba 4.2.0. Прекращение поддержки Samba 3 (80)
    - 22:31 На GitHub обрушилась необычная DDoS-атака, проведённая через (110)
    - 20:24 Второй кандидат в релизы инсталлятора Debian 8.0 (52)
    - 20:10 Новая версия легковесного Linux дистрибутива antiX 14.4 (33)
    - 20:00 Доступна финальная бета-версия Ubuntu 15.04, ознаменовавшая  (157)
    - 18:26 Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4 (13)


      Закладки на сайте
      Проследить за страницей
    Created 1996-2015 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList
    п╡п╣я│п╣п╩я▀п╣ п╨п╟я─я┌п╦п╫п╨п╦ я─п╟п╥п╡п╩п╣п╨п╟я┌п╣п╩я▄п╫я▀п╣ пЁп╦я└п╨п╦ п╦п╫я┌я─п╣я│п╫я▀п╣ я└п╟п╨я┌я▀ я│п╪п╣я┬п╫я▀п╣ п╡п╦п╢п╣п╬ я│п╪п╣я┬п╫я▀п╣ п╦я│я┌п╬я─п╦п╦ п╦п╥ я│п╬я├я│п╣я┌п╣п╧