The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Новая атака на SSL/TLS, позволяющая организовать перехват HT..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  –1 +/
Сообщение от opennews (??) on 04-Мрт-15, 14:16 
Исследователи из французского института INRIA (https://ru.wikipedia.org/wiki/INRIA) выявили (http://blog.cryptographyengineering.com/2015/03/attack-of-we...) новый вид атаки на SSL/TLS, который получил название FREAK (https://freakattack.com/), по аналогии с ранее выявленными атаками  POODLE (http://www.opennet.dev/opennews/art.shtml?num=40833), BREACH (http://www.opennet.dev/opennews/art.shtml?num=37614),  CRIME (http://www.opennet.dev/opennews/art.shtml?num=34869) и BEAST (http://www.opennet.dev/opennews/art.shtml?num=31797).  Суть атаки сводится к инициированию отката соединения на использование  разрешённого для экспорта набора шифров, включающего недостаточно защищённые устаревшие алгоритмы шифрования. Проблема позволяет вклинится в соединение и организовать анализ  трафика в рамках защищённого канала связи, используя уязвимость (CVE-2015-0204 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204)), выявленную во многих SSL-клиентах и позволяющую сменить шифры RSA на RSA_EXPORT и выполнить дешифровку трафика, воспользовавшись слабым эфемерным ключом (https://ru.wikipedia.org/wiki/%D0%AD%D1%...) RSA.

Предоставляемый в RSA_EXPORT 512-битный ключ RSA уже давно не применяется в серверном и клиентском ПО, так как считается не безопасным и подверженным атакам по подбору. Для подбора ключа RSA-512 исследователям потребовалось около семи с половиной часов при запуске вычислений в окружении Amazon EC2. Ключ достаточно подобрать для каждого сервера один раз, после чего подобранный ключ может использоваться для перехвата любых соединений с данным сервером.

Уязвимость затрагивает OpenSSL (исправлено в 0.9.8zd, 1.0.0p и 1.0.1k), браузер Safari и разнообразные встраиваемые и мобильные системы, включая Google Android и Apple iOS. Сканирование сети показало, что набор RSA_EXPORT поддерживается приблизительно на 36.7% из общей массы сайтов и на 9.7% из миллиона крупнейших сайтов.
Для защиты сервера на базе Apache к параметрам директивы
SSLCipherSuite следует добавить (https://mozilla.github.io/server-side-tls/ssl-config-generator/) "!EXPORT". Протестировать сайт на наличие уязвимости можно на данной странице (https://www.ssllabs.com/ssltest/).

URL: http://blog.cryptographyengineering.com/2015/03/attack-of-we...
Новость: http://www.opennet.dev/opennews/art.shtml?num=41782

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +6 +/
Сообщение от Аноним (??) on 04-Мрт-15, 14:16 
Это не баг, это фича (c)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +/
Сообщение от Аноним (??) on 04-Мрт-15, 16:56 
...или к вопросу почему уйма фич и легаси в протоколе - это плохо :)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +6 +/
Сообщение от Аноним (??) on 04-Мрт-15, 14:39 
> RSA_EXPORT 512-битный ключ RSA

Надежное шифрование от NSA :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +/
Сообщение от Аноним (??) on 04-Мрт-15, 14:43 
по ссылке не видно проверки на эту атаку.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  –5 +/
Сообщение от Аноним (??) on 04-Мрт-15, 14:45 
>Протестировать сайт на наличие уязвимости можно на данной странице.

Шикарный тест. Результат "В". Ни комментариев, ни данных по трактовке.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +1 +/
Сообщение от lolshto on 04-Мрт-15, 14:51 
На линк тестируемого сайта в репорте кликни и получишь полный отчет.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  –6 +/
Сообщение от Аноним (??) on 04-Мрт-15, 14:45 
Звиздец, только openssl обновлял,  это ж пол сервера надо будет перекомпилить!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +2 +/
Сообщение от Crazy Alex (ok) on 04-Мрт-15, 14:53 
А зачем ты на старую версию обновлял? В OpenSSL дыру закрыли 15 января.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +4 +/
Сообщение от demimurych email(ok) on 04-Мрт-15, 14:55 
хм. неужели кто то еще на боевых серверах что то перекомпилирует, а не пользуется репозитариями
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

44. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +/
Сообщение от user455 on 11-Мрт-15, 11:42 
в аду есть отдельный зал с повышенной температурой горения. там держат тех, кто при жизни говорил репозитарий вместо репозитория.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +1 +/
Сообщение от ryoken email on 04-Мрт-15, 14:58 
> Звиздец, только openssl обновлял,  это ж пол сервера надо будет перекомпилить!

Gentoo Hardened?


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +/
Сообщение от Аноним (??) on 04-Мрт-15, 15:09 
Да
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

21. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +5 +/
Сообщение от ананим.orig on 04-Мрт-15, 15:59 
Нет.
И cудя по фэку, сомневаюсь что вы компетенты ВООБЩЕ, чтобы установить генту. ☺
Превое — АПИ (и тем более АБИ) не изменялось. Для более-менее специалиста уже всё сказано.
Второе — для апача вон рецепт (для уязвимой версии!) уже написан.
Третье — вот мой лог установки openssl
> # genlop -e dev-libs/openssl
>     …
>     Fri Oct 17 21:40:39 2014 >>> dev-libs/openssl-1.0.1j
>     Fri Jan  9 11:48:08 2015 >>> dev-libs/openssl-1.0.1k
>     Sun Jan 18 02:43:41 2015 >>> dev-libs/openssl-1.0.1l
>     Fri Jan 23 23:27:35 2015 >>> dev-libs/openssl-1.0.2-r1
>     Wed Feb  4 17:08:36 2015 >>> dev-libs/openssl-1.0.2-r1
>     Wed Mar  4 13:52:04 2015 >>> dev-libs/openssl-1.0.2-r2

Версия k была ещё 9 января. И ни тогда. ни сегодня (см. выше) ничего перекомпилировать не было надобности.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +1 +/
Сообщение от Mike Lee on 04-Мрт-15, 15:30 
А что, в hardened статически линкуется?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

22. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +5 +/
Сообщение от ананим.orig on 04-Мрт-15, 16:01 
Да это ламер выпендрился.
Может вообще линух только на лив-цд и видел только.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +4 +/
Сообщение от Аноним (??) on 04-Мрт-15, 16:18 
> Gentoo Hardened?

Hentoo Gardened.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +/
Сообщение от Аноним (??) on 04-Мрт-15, 15:36 
А зачем у тебя конфигурация ssl-сервисов допускает использование небезопасных шифров?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

26. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +1 +/
Сообщение от Аноним (??) on 04-Мрт-15, 17:14 
А ты что, статически линкуешь всё с ssl?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

28. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +1 +/
Сообщение от pavlinux (ok) on 04-Мрт-15, 18:22 
А чё самое ох...енное - у все выше отписавшихся нет ни одного сервера, видимо, кроме локалхоста.  

Нужно лишь вставить в строку апача/нжинкса SSLCipherSuite ...:!EXPORT:...
Причем эта фича баянистая, и кто в теме у всех давно оно выключено.
FAQ за 2004 год, https://www.digicert.com/ssl-certificate-installation-apache...

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

33. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +/
Сообщение от Аноним (??) on 05-Мрт-15, 01:22 
> Причем эта фича баянистая, и кто в теме у всех давно оно выключено.

А ты домой ходешь с миноискателем? Химзу дома не забыл? Каску одел? Бронежилет в наличии? Противогаз в рюкзак положил? Ну, если ты такой прошареный - тебе бояться нечего!

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

35. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +/
Сообщение от ананим.orig on 05-Мрт-15, 01:55 
Вот так ламерюги и окупировали опеннет.
Нет чтобы просто спросить, если что не понятно, так нет, давай из себя крютого специалиста строить.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

43. "Новая атака на SSL/TLS, позволяющая организовать..."  +/
Сообщение от arisu (ok) on 10-Мрт-15, 15:30 
> Каску одел?

во что? и зачем ты занимаешься одеванием каски? ты сумасшедший?

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

14. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +1 +/
Сообщение от Аноним (??) on 04-Мрт-15, 15:16 
http://dayswithoutansslexploit.com
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +/
Сообщение от Аноним (??) on 04-Мрт-15, 22:45 
https://istheinternetonfire.com/

( dig +short txt istheinternetonfire.com )

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

27. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  –1 +/
Сообщение от Аноним (??) on 04-Мрт-15, 17:41 
Посоны, а какое шифрование сейчас можно экспортировать из США и есть ли исключения? Где об этом почитать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  –2 +/
Сообщение от Нанобот (ok) on 04-Мрт-15, 20:00 
>Посоны, а какое шифрование сейчас можно экспортировать из США и есть ли исключения?

это смотря куда экспортировать. одно дело, если в банановые республики типа сомали, и совсем другое, если во всякие там расеи и северные кореи

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +/
Сообщение от Аноним (??) on 04-Мрт-15, 21:05 
Публикуя аппы с шифрованием в гугл плее например. То есть для всех доступных там стран.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  –2 +/
Сообщение от Аноним (??) on 04-Мрт-15, 22:49 
SELinux помогает от таких дырок?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +5 +/
Сообщение от Аноним (??) on 05-Мрт-15, 01:25 
> SELinux помогает от таких дырок?

Не больше чем миноискатель помогает от падения сосульки на голову.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

37. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +/
Сообщение от ананим.orig on 05-Мрт-15, 06:17 
Это не дыра, это штатная функциональность.
Которая просто устарела. А может специально оставили, х/з.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

39. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  –1 +/
Сообщение от Аноним (??) on 05-Мрт-15, 07:29 
> может специально оставили

Это и называется - дыра.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

42. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +/
Сообщение от Andrew Kolchoogin (ok) on 10-Мрт-15, 06:14 
Угу. Устарело у них...

[поездивший по миру mode on]

Во Франции это скажите. Там полицейский департамент быстро вам пояснит, у кого и что устарело.

[поездивший по миру mode off]

В мире, увы, бывают и "очень странные страны". Причём неочевидно странные.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

36. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +2 +/
Сообщение от Аноним (??) on 05-Мрт-15, 03:19 
Интернет 2 спасёт безысходное положение.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +/
Сообщение от Мицгол on 11-Мрт-15, 20:29 
нет, только Векторный Гипертекстовый Фидонет
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

46. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."  +/
Сообщение от Dmitriy (??) on 30-Мрт-16, 10:15 
Нормальный крекер расшифрует лубой RSA KEY-512, при этом используя инструмент и голову на плечах, и это не урод, а граммотный человек лучше чем играть в танки и.т.д
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Новая атака на SSL/TLS, позволяющая организовать..."  +/
Сообщение от arisu (ok) on 30-Мрт-16, 12:08 
«крекер» — это печенька такая. а ты — дурак.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру