Annuncio pubblicitario
Un romanzo bug di crittografia è emerso di recente, che potrebbe costituire una minaccia per la privacy online. Soprannominato "LogJam", il bug si verifica nel TSL (Transport Security Layer), un protocollo di crittografia utilizzato per autenticare i server e nascondere i contenuti di attività Web sicure (come il login della banca).
Il bug consente a un aggressore man-in-the-middle di forzare il tuo browser e il server a cui è connesso a utilizzare una forma debole di crittografia che è vulnerabile agli attacchi di forza bruta. Questo è legato al Vulnerabilità "FREAK" SuperFREAK: la nuova vulnerabilità legata ai bug di sicurezza influisce sulla sicurezza del browser desktop e mobileLa vulnerabilità di FREAK è una vulnerabilità per il tuo browser e non si limita a nessun browser, né a un singolo sistema operativo. Scopri se sei interessato e proteggiti. Leggi di più scoperto e rattoppato all'inizio di quest'anno. Questi bug derivano da problemi di sicurezza più catastrofici come
heartbleed Heartbleed - Cosa puoi fare per stare al sicuro? Leggi di più e ShellShock Peggio di cuore? Scopri ShellShock: una nuova minaccia alla sicurezza per OS X e Linux Leggi di più .
Mentre le patch sono in funzione per la maggior parte dei browser principali, la correzione potrebbe rendere inaccessibili migliaia di server Web fino a quando non vengono aggiornati con il codice corretto.
Un'eredità militare
A differenza della maggior parte delle vulnerabilità di sicurezza, che sono causate semplicemente per supervisione del programmatore 1.000 app iOS hanno bug SSL paralizzante: come verificare se sei interessatoIl bug di AFNetworking sta causando problemi agli utenti di iPhone e iPad, con migliaia di app che presentano una vulnerabilità I certificati SSL vengono correttamente autenticati, facilitando potenzialmente il furto di identità attraverso il man-in-the-middle attacchi. Leggi di più , questa vulnerabilità è almeno parzialmente intenzionale. All'inizio degli anni '90, quando iniziò la rivoluzione del PC, il governo federale era preoccupato che il l'esportazione di una forte tecnologia di crittografia verso potenze straniere potrebbe compromettere la sua capacità di spiare altri nazioni. All'epoca, una forte tecnologia di crittografia era considerata, legalmente, una forma di armamento. Ciò ha permesso al governo federale di porre limiti alla sua distribuzione.
Di conseguenza, quando è stato sviluppato SSL (Secure Socket Layer, predecessore di TSL), è stato sviluppato in due versioni: la versione americana, che supporta chiavi a lunghezza intera di 1024 bit o superiori e la versione internazionale, che ha superato le chiavi a 512 bit, che sono esponenzialmente più debole. Quando le due diverse versioni di SSL parlano, ritornano alla chiave a 512 bit più facilmente rotta. Le regole di esportazione sono state modificate a causa di un contraccolpo dei diritti civili, ma per motivi di compatibilità con le versioni precedenti, le versioni moderne di TSL e SSL supportano ancora le chiavi a 512 bit.
Sfortunatamente, c'è un bug nella parte del protocollo TSL che determina quale lunghezza della chiave usare. Questo bug, LogJam, consente a uomo nel mezzo Che cos'è un attacco man-in-the-middle? Spiegazione del gergo sulla sicurezzaSe hai sentito parlare di attacchi "man-in-the-middle" ma non sei sicuro di cosa significhi, questo è l'articolo per te. Leggi di più attaccante per indurre entrambi i clienti a pensare di parlare con un sistema legacy che vuole usare una chiave più breve. Ciò degrada la forza della connessione e semplifica la decodifica della comunicazione. Questo bug è stato nascosto nel protocollo per circa venti anni ed è stato scoperto solo di recente.
Chi è interessato?
Il bug attualmente interessa circa l'8% dei primi un milione di siti Web abilitati per HTTPS e un gran numero di server di posta che tendono a eseguire codice obsoleto. Tutti i principali browser Web sono interessati tranne Internet Explorer. I siti Web interessati mostrerebbero il lucchetto https verde nella parte superiore della pagina, ma non sarebbero sicuri contro alcuni aggressori.
I produttori di browser hanno concordato che la soluzione più efficace a questo problema è rimuovere tutto il supporto legacy per le chiavi RSA a 512 bit. Sfortunatamente, questo renderà una parte di Internet, inclusi molti server di posta, non disponibili fino all'aggiornamento del firmware. Per verificare se il tuo browser è stato patchato, puoi visitare un sito creato dai ricercatori della sicurezza che hanno scoperto l'attacco, all'indirizzo weakdh.org.
Praticità d'attacco
Quindi, quanto vulnerabile è una chiave a 512 bit in questi giorni, comunque? Per scoprirlo, dobbiamo prima guardare esattamente cosa viene attaccato. Lo scambio di chiavi Diffie-Hellman è un algoritmo utilizzato per consentire a due parti di concordare una chiave di crittografia simmetrica condivisa, senza condividerla con un ipotetico snooper. L'algoritmo Diffie-Hellman si basa su un numero primo condiviso, integrato nel protocollo, che ne determina la sicurezza. I ricercatori sono stati in grado di decifrare il più comune di questi numeri primi in una settimana, consentendo loro di decrittografare circa l'8% del traffico Internet che è stato crittografato con il primo debole a 512 bit.
Questo mette questo attacco a portata di mano per un "aggressore di caffetteria" - un piccolo ladro ficcanaso sulle sessioni tramite WiFi pubblico 3 pericoli di accesso al Wi-Fi pubblicoHai sentito che non dovresti aprire PayPal, il tuo conto bancario e forse anche la tua e-mail durante l'utilizzo del WiFi pubblico. Ma quali sono i rischi reali? Leggi di più e chiavi brutali dopo il fatto di recuperare informazioni finanziarie. L'attacco sarebbe banale per le società e le organizzazioni come la NSA, che potrebbero fare di tutto per organizzare un uomo in mezzo all'attacco per lo spionaggio. In entrambi i casi, ciò rappresenta un rischio di sicurezza credibile, sia per la gente comune che per chiunque possa essere vulnerabile al ficcanaso da parte di forze più potenti. Certamente, qualcuno come Edward Snowden dovrebbe stare molto attento all'utilizzo del WiFi non garantito per il prossimo futuro.
Ancora più preoccupante, i ricercatori suggeriscono anche che le lunghezze standard standard considerate sicure, come il Diffie-Hellman a 1024 bit, potrebbe essere vulnerabile agli attacchi di forza bruta da parte di un governo potente organizzazioni. Suggeriscono di migrare a dimensioni di chiave sostanzialmente maggiori per evitare questo problema.
I nostri dati sono sicuri?
Il bug LogJam è un sgradito promemoria dei pericoli della regolamentazione della crittografia ai fini della sicurezza nazionale. Uno sforzo per indebolire i nemici degli Stati Uniti ha ferito tutti e reso tutti meno sicuri. Arriva in un momento in cui l'FBI sta compiendo sforzi per costringere le aziende tecnologiche a farlo includere backdoor nel loro software di crittografia. Ci sono ottime possibilità che se vincono, le conseguenze per i prossimi decenni saranno altrettanto gravi.
Cosa ne pensi? Dovrebbero esserci restrizioni sulla crittografia avanzata? Il tuo browser è sicuro contro LogJam? Fateci sapere nei commenti!
Crediti immagine: US Cyberwarfare, Tastiera Hacker, HTTP, Segno NSA di Wikimedia
Scrittore e giornalista con sede nel sud-ovest, Andre è garantito per rimanere funzionale fino a 50 gradi Celcius ed è impermeabile fino a una profondità di dodici piedi.