A FREAK lehet 2015 legdurvább sebezhetősége
Újabb súlyos biztonsági gyengeségre derült fény. A sebezhetőség rengeteg számítógépet, mobil eszközt és beágyazott rendszert tehet védtelenné a lehallgatásokkal és az egyéb internetes támadásokkal szemben.
Amikor a titkosított kommunikációs kapcsolatokban kulcsszerepet betöltő SSL/TLS protokollok, illetve az azokat támogató alkalmazások kapcsán biztonsági résre derül fény, akkor az általában komoly aggodalmat vált ki a szakmában. Ez persze nem csoda, hiszen az egy évvel ezelőtt feltárt - OpenSSL-ben kimutatott - Heartbleed sebezhetőség, valamint a szintén tavaly nagy hírverést kapott POODLE sérülékenység ékes bizonyítékát adta annak, hogy miként válhatnak egy csapásra weboldalak, eszközök millió teljesen kiszolgáltatottá a külső támadásokkal szemben.
A legújabb SSL/TLS sebezhetőség - hasonlóan az előbbiekben említett biztonsági résekhez - nem új keletű problémára vezethető vissza. Oly annyira nem, hogy a FREAK (Factoring RSA Export Keys) névre keresztelt sérülékenység története tulajdonképpen az 1990-es években kezdődött, amikor az amerikai export korlátozások miatt a fejlesztőknek gyengébb titkosítási eljárásokat is be kellett építeniük az alkalmazásaikba, legalábbis, ha azt akarták, hogy a szoftvereik bejárják a világot. Ekkor az SSL-be bekerült egy olyan üzemmód, amelynek révén 512 bites - akkor még viszonylag erősnek számító, de ma már kifejezetten gyenge - RSA kulcsokkal lehetett megvalósítani a kommunikáció védelmét. A FREAK erre az úgynevezett "export módra" épül, amely főként kompatibilitási okok miatt az elmúlt évtizedben sem került ki az SSL-implementációk többségéből.
Az újonnan kidolgozott támadási lehetőségről beszámoló kutatók tulajdonképpen arra jöttek rá, hogy egyes eszközök, szoftverek rávehetők arra, hogy ezt a gyenge titkosítási eljárást használják még akkor is, ha alapértelmezésként amúgy jóval biztonságosabb módon teremtenének kapcsolatot egymással. Ennél fogva az elkövetőknek jóval könnyebb a dolguk, amikor titkosított adatforgalmat akarnak lehallgatni vagy manipulálni.
Prémium előfizetéssel!
-
Az Apple 105 biztonsági hibáról számolt be a macOS kapcsán.
-
Jelentős mennyiségű biztonsági javítás érkezett az iOS és iPadOS operációs rendszerekhez.
-
Megjelent a watchOS legújabb verziója, amely számos biztonsági frissítéssel szolgál.
-
A Google két biztonsági hibát javított az Androidban, amelyek közül az egyik kritikus veszélyességű.
-
A RUCKUS Network Director (RND) egy biztonság hibát tartalmaz.
-
21 biztonsági rést foltoztak be a Microsoft fejlesztői az Edge webböngészőn.
-
A Docker Compose egy súlyos sebezhetőséget tartalmaz.
-
Jelentős mennyiségű biztonsági frissítés érkezett a Google Chrome webböngészőhöz.
-
A GIMP frissítésével egy biztonsági hiba vált megszüntethetővé.
-
Az ImageMagick egy biztonsági hibát tartalmaz.
A zsarolóvírus-támadások nem csupán technikai fennakadásokat vagy átmeneti anyagi veszteségeket okoznak – hanem akár egy teljes vállalkozás bukását is jelenthetik.
Az iskolakezdés sok családban nemcsak a füzetek és tolltartók beszerzését jelenti, hanem az első saját okoseszköz – telefon, tablet vagy laptop – megvásárlását is a gyerekek számára.
OLDALUNK
RSSImpresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat