Перейти к содержимому



Разновидность атаки, придуманной еще в 1998 году, все еще подходит для взлома трафика


  • Вы не можете ответить в тему
  • Вы не можете создать новую тему
В этой теме нет ответов

#1 OFFLINE   Viktor@s

 

    Знаток

  • [Хранители]
  • сообщений: 5 997
    Последний визит:
    18 Апр 2018 11:44
  • Пол:Мужчина
  • Откуда:Lithuania
 

Отправлено 14 Декабрь 2017 - 15:17

Разновидность атаки, придуманной еще в 1998 году, все еще подходит для взлома трафика Facebook, PayPal и других крупных сайтов

    Исследователи, работающие в сфере информационной безопасности, обнаружили, что криптографическая атака, придуманная 19 лет назад, все еще может с успехом может быть использована, хотя и с небольшими изменениями. Она позволяет злоумышленнику получить приватный ключ для дешифровки трафика HTTPS.

Изображение
Новую атаку назвали ROBOT (Return Of Bleichenbacher«s Oracle Threat). Коротко говоря, она дает возможность удаленному пользователю получить без авторизации ключ сессии TLS. Как утверждается, уязвимость, на которой строится атака, есть в реализациях RSA, как минимум, восьми крупных производителей оборудования, включая Citrix и Cisco. Это, в частности, позволяет взломать трафик Facebook, PayPal и других крупных сайтов.
Дело в том, что исходную уязвимость, позволявшую «угадать» ключ прямым перебором, производители прикрыли не сменой алгоритма, а мерами, препятствующими перебору. Новый метод взлома построен на противодействии этим мерам, в результате чего снова становится доступен старый подход.
Чтобы устранить уязвимость, исследователи рекомендуют запретить шифрование с использованием RSA. В современных соединениях TLS для получения ключа используется протокол Диффи-Хеллмана на эллиптических кривых, поэтому необходимости в RSA нет.
14.12.2017 19:33
©  iXBT





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных