Hackeři nyní mohou odpočívat i na šifrovaném kanálu

Avi Rubin: All your devices can be hacked (Smět 2024)

Avi Rubin: All your devices can be hacked (Smět 2024)
Anonim
Obsah:
  • Zjištění
  • Co musí odborníci říkat?
  • Co můžeš udělat?

Pokud si myslíte, že vaše data byla v bezpečí, zkuste to znovu. Protože podle akademických studií bylo zjištěno, že v důsledku zranitelnosti TLS 1.3 se hackeři nyní mohou napojit na zabezpečený kanál a mohou shromažďovat data pro zákeřný záměr.

Výzkumný příspěvek publikoval Tel Aviv University, University of Adelaide a University of Michigan, stejně jako Weizmann Institute. Kromě toho NCC Group a Data61 také dospěly k podobným zjištěním.

Zjištění

Útok je modifikovanou verzí skutečného útoku na věštce Bleichenbacher, který v minulosti dokázal dekódovat zprávu šifrovanou RSA pomocí kryptografie s veřejným klíčem.

Tato nová vlna se však snaží pracovat proti TLS 1.3, což je nejnovější verze mezi protokoly TLS. Úřady věřily, že je to bezpečné, ale zřejmě to není a to je alarmující!

Protože TLS 1.3 nepodporuje výměnu klíčů RSA, vědci se domnívali, že je nejlepší pokračovat s verzí downgrade, tj. TLS 1.2 za účelem vyhodnocení útoku.

Výsledkem jsou zmírnění downgrade, jako je strana na straně serveru a na straně dvou klientů, která obchází útok downgrade. Závěrem lze říci, že pokud by existovaly větší klíče RSA, těmto útokům by se dalo zabránit a také by se zkrátil časový limit handshake.

Bylo studováno devět různých implementací TLS; OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL a GnuTLS, z nichž BearSSL a Google BoringSSL byly v bezpečí. Všichni ostatní zůstali zranitelní.

Co musí odborníci říkat?

Pokud jde o počet útoků, Broderick Perelli-Harris, ředitel Sr ve Venafi, věří, že se objevují od roku 1988 v rámci variací Bleichenbacher. Není proto překvapivé, že TLS 1.3 je také zranitelný.

Jake Moore, specialista na kybernetickou bezpečnost společnosti ESET UK, je toho názoru, že útok kryptografické povahy není první a nebude posledním svého druhu. Rovněž zastává názor, že se to podobá hře Whac-A-Mole - pokaždé, když je použita oprava zabezpečení, objeví se další.

Co můžeš udělat?

Celkově vzato je vada v původním složení šifrovacího protokolu TLS. Ale prozatím kvůli samotné konstrukci protokolu záplatování je jedinou cestou vpřed.

Co můžete udělat, abyste se mezitím chránili? Využijte dvoufaktorové ověřování (2FA), aktualizujte svůj software, jako je malware / antivirus, nastavte silnější hesla a slušnou službu VPN, jako je Ivacy.

Uživatelé Alexa nyní mohou smazat svou historii hlasových příkazů

Uživatelé Alexa nyní mohou smazat svou historii hlasových příkazů

Amazon uvolňuje podporu pro uživatele zařízení Amazon a Alexa, aby pomocí tohoto jednoduchého příkazu vymazali veškerou historii hlasu za celý den.

Jak sledovat živé vysílání kanálu 5 mimo uk {100% pracovní}

Jak sledovat živé vysílání kanálu 5 mimo uk {100% pracovní}

Už vás nebaví omezení přístupu k živému proudu kanálu 5? Máte štěstí, protože zde najdete návod, jak jej snadno odblokovat!

10 Letos na podzim se musí sledovat halloweenské filmy disney kanálu

10 Letos na podzim se musí sledovat halloweenské filmy disney kanálu

Tato příručka obsahuje seznam všech filmů Disney Channel Halloween a můžete si ji prohlédnout, pokud se nacházíte mimo území USA pomocí slušné VPN.

Redakce Choice