A FREAK lehet 2015 legdurvább sebezhetősége

Újabb súlyos biztonsági gyengeségre derült fény. A sebezhetőség rengeteg számítógépet, mobil eszközt és beágyazott rendszert tehet védtelenné a lehallgatásokkal és az egyéb internetes támadásokkal szemben.
hirdetés
Amikor a titkosított kommunikációs kapcsolatokban kulcsszerepet betöltő SSL/TLS protokollok, illetve az azokat támogató alkalmazások kapcsán biztonsági résre derül fény, akkor az általában komoly aggodalmat vált ki a szakmában. Ez persze nem csoda, hiszen az egy évvel ezelőtt feltárt - OpenSSL-ben kimutatott - Heartbleed sebezhetőség, valamint a szintén tavaly nagy hírverést kapott POODLE sérülékenység ékes bizonyítékát adta annak, hogy miként válhatnak egy csapásra weboldalak, eszközök millió teljesen kiszolgáltatottá a külső támadásokkal szemben.
 
A legújabb SSL/TLS sebezhetőség - hasonlóan az előbbiekben említett biztonsági résekhez - nem új keletű problémára vezethető vissza. Oly annyira nem, hogy a FREAK (Factoring RSA Export Keys) névre keresztelt sérülékenység története tulajdonképpen az 1990-es években kezdődött, amikor az amerikai export korlátozások miatt a fejlesztőknek gyengébb titkosítási eljárásokat is be kellett építeniük az alkalmazásaikba, legalábbis, ha azt akarták, hogy a szoftvereik bejárják a világot. Ekkor az SSL-be bekerült egy olyan üzemmód, amelynek révén 512 bites - akkor még viszonylag erősnek számító, de ma már kifejezetten gyenge - RSA kulcsokkal lehetett megvalósítani a kommunikáció védelmét. A FREAK erre az úgynevezett "export módra" épül, amely főként kompatibilitási okok miatt az elmúlt évtizedben sem került ki az SSL-implementációk többségéből.
 
Az újonnan kidolgozott támadási lehetőségről beszámoló kutatók tulajdonképpen arra jöttek rá, hogy egyes eszközök, szoftverek rávehetők arra, hogy ezt a gyenge titkosítási eljárást használják még akkor is, ha alapértelmezésként amúgy jóval biztonságosabb módon teremtenének kapcsolatot egymással. Ennél fogva az elkövetőknek jóval könnyebb a dolguk, amikor titkosított adatforgalmat akarnak lehallgatni vagy manipulálni.
 
A FREAK megjelenése óta egyre több olyan támadásról készült videó lát napvilágot, amelyek azt bizonyítják, hogy nemcsak az adatforgalom lehallgatására adhat módot a sebezhetőség. Egyes kutatók már igazolták, hogy például a Facebook JavaScript SDK-jának felhasználásával is lehet visszaéléseket elkövetni, és Cross-site scripting (XSS) típusú támadásokat végrehajtani.

 
Néhány óra, és kész a törés

Arra kérdésre, hogy mennyi időre lehet szükségük a támadóknak egy FREAK által lebutított tikosítás feltörésére, nem lehet konkrét számokkal válaszolni, mivel sok múlik azon, hogy mennyi erőforrást áldoznak a támadásra. Napjaink felhős világában azonban ez nem okoz nagy problémát. A kutatók kifejtették, hogy az Amazon EC2 bevetésével és 50 dollár fejében 12 óra alatt biztosan elvégezhető a törés. Ha azonban egy támadó 100 dollárt sem sajnál kiadni, akkor több EC2 kapacitással akár 7 óra alatt is eredményt érhet el. Ezt követően pedig szabaddá válik az út előtte, hogy közbeékelődéses (MITM - Man in The Middle) támadásokkal lehallgassa, vagy kompromittálja a kiszemelt szerver és a kliensek közötti adatáramlást.
 
A FREAK – hasonlóan, ahogy a Heartbleed és a POODLE is - meglehetősen széles körű problémákat vet fel. Az első felmérések szerint a legnépszerűbb weboldalak legalább 12 százaléka sebezhető. A biztonsági rés napvilágra kerülésekor sérülékenynek bizonyult egyebek mellett az americanexpress.com, a groupon.com, a bloomberg.com, a marriott.com, de még az IBM, a Symantec, sőt az NSA publikus webhelye is. Ugyancsak sebezhetők a Mac OS X alapú számítógépek, valamint az iOS-re és az Androidra épülő eszközök is. A Google már elkészítette a szükséges javításokat, amelyeket a gyártók - jó esetben - elkezdenek terjeszteni, míg az Apple legkésőbb a jövő hétre ígérte a megfelelő patch-ek kiadását. Nagyon fontos, hogy az OpenSSL korábbi verzióit is sújtja a FREAK, ezért minden OpenSSL-t használó szerver, illetve eszköz esetében indokolt a frissítés. Ezeken a "CVE-2015-0204" jelzésű biztonsági rést kell befoltozni az OpenSSL 1.0.1k, 1.0.0p vagy 0.9.8zd verzióira való váltással.
 
Védekezési tippek

A következő napokban, hetekben egészen biztosan sok olyan biztonsági frissítés fog elérhetővé válni, amelyek a FREAK kockázatait lesznek hivatottak csökkenteni. Ezért a szoftverek frissítésére most különösen érdemes lesz figyelni. Emellett a webszerverek és az egyéb kiszolgálók üzemeltetőinek célszerű felmérniük, hogy az export mód engedélyezett-e az általuk felügyelt rendszereken, majd szükség esetén be kell zárniuk a kiskapukat.
   
Gyorssegély
 
Antivírus: Avast |  AVG |  Malwarebytes | 
Tűzfal: Comodo |  ZoneAlarm
Mentés: Cobian Backup
Online: ESET |  Bitdefender |  Norton |  Panda
hirdetés

Prémium hírcsatorna

  1. Az Apple iOS esetében ismét frissítésre vn szükség.

  2. Az OpenSSL három sérülékenység miatt válhat megbéníthatóvá.

  3. A VMware vRealize Automation két sebezhetőség miatt szorul frissítésre.

  4. A MantisBT egy olyan hibát rejt, amely XSS-alapú támadásokra adhat módot.

  5. A Zombrari trójai a fertőzött számítógépeken a beállított DNS-kiszolgáló címével ügyeskedik.

  6. A WordPress kapcsán két sebezhetőséget szüntettek meg a fejlesztők.

  7. A Prifou trójai a webböngészők manipulálásával éri el, hogy a felhasználó elé tudjon tárni bosszantó reklámokat.

  8. A Ransomcrypt zsaroló program készítői igyekeztek a lehető legjobban leegyszerűsíteni a váltságdíj kifizetését.

  9. A Remvio trójai még csak arra sem veszi a fáradtságot, hogy a saját fájlját felmásolja a rendszerre. Ehelyett inkább adatlopásra koncentrál.

  10. A Cartcapa trójai az egyszerűsége ellenére meglehetősen nagy hatalmat tud adni a támadók kezébe.

Partnerhírek

  1. 2n

    A kiberbűnözők a jövőben a Facebook és a LinkedIn oldalait is felhasználhatják majd hasonló kártevők irányítására.

  2. 4n

    Az ESET júliusi listájának új szereplője a Defo, amely az általános észlelési gyűjtőneve az MS-DOS platformon futó kártékony programkódoknak.

  3. 24n

    Az ESET szakértőjének tanácsai arról, mi mindent kell tudnunk, mielőtt belevágunk a jegyvadászatba.

  4. 1h

    Az ESET szakértőinek tanácsa, hogyan védjük meg magunkat és gyermekeinket a hamis közösségi profilok jelentette veszélyektől.

  5. 1h

    Az ESET júniusi listájára egy olyan kártékony szerzemény is felkerült, amely webböngészők manipulálásával és a felhasználók ártalmas weboldalakra történő vezetésével segíti a vírusterjesztőket.

  6. 1h

    Számos fejlesztő próbálkozik a felhasználók megtévesztésével, hogy rávegyék őket a hasznosnak látszó alkalmazásaik letöltésére.

  7. 1h

    Az elmúlt év során az ESET több alkalommal detektálta és elemezte azt az SBDH névre hallgató eszközkészletet, amely célzott kiberkémkedésekben kapott szerepet.

  8. 1h

    Fogkefe? Megvan. Törölköző? Megvan. Laptop, okostelefon, táblagép? Megvan.

  9. 2h

    Felismerhetetlen adattárolók, leejtett gépek és a zsarolóvírusok is gondot okozhatnak.

  10. 2h

    A PiK-SYS Kft. évről-évre megrendezésre kerülő nyári IT biztonsági szemináriuma idén 2016.06.29-én, “Intelligencia és együttműködés az IT biztonságban” címmel kerül megtartásra.

hirdetés
Isidor Club
 
 

Biztonságportál Prémium

Isidor Biztonsági Központ