Internet Browser with Error Symbol

Az érintett szoftvereket gyártó cégek már léptek, hogy a politikai okokból sebezhetővé vált weboldalak adatforgalmába ne lehessen belenézni. Az INRIA munkatársa, egy francia biztonsági szakember, Karthikeyan Bhargavan a Microsoft Research segítségével fedezett fel egy már hosszú évek óta létező sebezhetőséget az SSL (Secure Sockets Layer) protokollban, illetve utódjában a TLS-ben (Transport Layer Security), mely egy támadó számára lehetővé teszi, hogy a kliensek és a szerverek közötti, gyenge titkosítású adatfolyamhoz hozzáférjenek.

A hibának a FREAK (Factoring Attack on RSA-EXPORT Keys) nevet adták, és közölték, hogy nagyon sok népszerű weboldalban megtalálható a sebezhetőség, emellett az Apple Safari böngészője, valamint az Android érintett, de azok az alkalmazások is, melyek az OpenSSL 1.0.1k előtti verzióit használják.

Politikai háttér

A legérdekesebb az egész történetben, hogy a sebezhetőség mögött a politika rejlik. Arról van szó ugyanis, hogy az Egyesült Államok kormánya az 1990-es évek környékén megtiltotta az amerikai szoftvercégeknek, hogy a kontinensen kívülre olyan programokat exportáljanak, melyek erős titkosítást használnak. Ezt a korlátozást később ugyan feloldották, ám az addigra már sok helyen alkalmazott protokollban a kompatibilitásra hivatkozva nem követelték meg az erősebb védelmet.

Ezért állhatott elő a most feltárt helyzet: a támadók a protokoll hiányosságát kihasználva képesek a magasabb szintű (jellemzően 2048 bites) titkosítást átállítani egy gyengébb (512 bites kulcsot használó), a mai módszerekkel már viszonylag könnyen feltörhető titkosításra – az 512 bites kulcsnál szakértők szerint nagyjából hét óra alatt, körülbelül 100 dolláros költséggel lehet feltörni a titkosítást, ha valaki mondjuk az Amazon felhőszolgáltatását használja fel erre a célra.A technológiai részleteket a francia kutató májusban egy Kaliforniában tartandó biztonsági konferencián fogja ismertetni.

Javítások

A híradásra reagálva az Apple szóvivője elmondta, hogy a jövő héten adnak ki egy hibajavítást az iOS-hez és az OS X-hez, mely orvosolja a hibát, a Google pedig közölte, hogy egy javítást már eljuttattak az Androidot felhasználó partnereikhez, vagyis ennek alkalmazása már a gyártókon múlik.

A kutatók több mint 14 millió weboldalt vizsgáltak, meg, hogy érintettek-e, és kiderült, hogy több mint harmaduk sebezhető – természetesen csak akkor, ha a felhasználó a fent említett szoftvereket futtatva kapcsolódik a rést tartalmazó weboldalakhoz, vagyis Windowst vagy Linuxot használva nagy valószínűséggel nem működik a módszer. A munka nyomán több olyan lista is megjelent, mely a népszerűbb sebezhető weboldalakat sorolja fel, és jócskán akad közöttük magyar oldal is. Csak néhány példát említve: freemail.hu, mariaradio.hu, urabanlegends.hu, cba.hu, szekesfehervar.hu, kozbeszerzes.hu, eset.hu, notebook.hu, klubradio.hu, nyest.hu, ksh.hu, opten.hu, mti.hu, upc.hu, bme.hu, unideb.hu, citromail.hu, gyakorikerdesek.hu stb.

Forrás:  IT Café

2015. március 10. 14:18 | Biztonságos internetezés, Haladó