HTTPS חדש מנצל משאיר מאות אתרים פגיעים, אבל יש תיקון קל - מחשוב - 2019

Anonim

חוקרים ב- INRIA, מכון המחקר הלאומי של צרפת למדעי המחשב, פיתחו דרך חדשה לפענח קובצי Cookie סודיים, אשר עלולים להשאיר את הסיסמאות שלך חשופות לגניבה.

Karthikeyan Bhargavan ו Gaetan Leurent, יש המציא וביצע התקפה - במעבדה מחקר crypto - אשר יכול פיראט התנועה מיותר מ 600 של האתרים הפופולריים ביותר של האינטרנט ולהניח חשוף מידע הכניסה שלך מאובטח בעבר.

אבל הניצול, המכונה "Sweet32", אינו קל לביצוע. הוא כולל כרייה של מאות ג 'יגה בייט של נתונים, ומיקוד למשתמשים ספציפיים שיש להם גישה לאתר זדוני אשר אוכף אותם עם קצת תוכנות זדוניות. עם זאת, הקושי בביצוע הפיגוע הוא overweighed רק עד כמה לחלוטין זה תחת כמה תוכניות הצפנה הנפוצות ביותר של האינטרנט.

בעוד ההתקפה קשה מאוד לבצע בפועל, את קיומו של ניצול יש מומחי אבטחה על צוות הפיתוח OpenSSL לשים לב.

על ידי כריית HTTPS או OpenVPN תנועה מוצפנת, החוקרים הצליחו להשתמש בפרדוקס מתמטי כדי לזהות חלקים של מידע מוצפן ולפענח אישורי כניסה וסיסמה בשלמותם.

אין פאניקה עדיין, מומחי אבטחה מדבר עם ארס Technica משוכנעים כי האיום הנשקף על ידי ניצול היא מינימלית, בין היתר בשל העובדה כי יש לתקן פשוט יחסית.

פגיעות המפתח שנוצלה במערך הסודי של קובצי cookie-decryption נמצאת רק בצופן בלוק 64 סיביות, אשר מפתחי OpenVPN כבר התייחסו אליו בגירסה העדכנית ביותר של תוכנת ה- VPN שלהם. מומחי אבטחה אחרים שדיברו עם ארס אישרו כי הניצול מהווה איום קטן כל עוד מפתחים לעלות על הלוח ולהפסיק באמצעות בלוקים 64 סיביות בלוק כמו טריפל DES, או '3DES'.

"הבעיה 3DES היא תוצאה מעשית קטנה בשלב זה. זה רק עניין של היגיינה טובה להתחיל להיפרד 3DES ", אמר ויקטור Dukhovni, חבר צוות OpenSSL.