Home / MacOS / Η Apple επιδιορθώνει την ευπάθεια του ”Freak Attack” σε iOS και OS X την ερχόμενη εβδομάδα

Η Apple επιδιορθώνει την ευπάθεια του ”Freak Attack” σε iOS και OS X την ερχόμενη εβδομάδα

Το «FREAK Attack” είναι μία ευπάθεια SSL / TLS  που αποκαλύφθηκε από τους ερευνητές στις 3 του Μάρτη του 2015 που μπορούν να αξιοποιηθούν για να ”σπρώξουν” τα προγράμματα περιήγησης σε ένα πιο αδύναμο επίπεδο κρυπτογράφησης.

21618404

Οι επιτιθέμενοι μπορούν θεωρητικά να χρησιμοποιήσουν το  FREAK ATTACK για να παρεμποδίσουν το πως θα πρέπει να είναι μια ασφαλής σύνδεση HTTPS – εκείνη  με το εικονίδιο κλειδώματος στη γραμμή διευθύνσεων – και να υποβαθμίζουν την κρυπτογράφηση σε “export grade”, η  οποία είναι πολύ πιο εύκολο να σπάσει.Το  Safari, τόσο σε OS X και iOS, μεταξύ άλλων προγραμμάτων  περιήγησης, μπορεί να είναι επιρρεπή σε FREAK Attacks, αλλά η Apple έχει επίγνωση της εκμετάλλευσης αυτής  και κινείται γρήγορα για να το επιδιορθώσει:

«Έχουμε μια επιδιόρθωση  σε iOS και OS X,” είπε ένας εκπρόσωπος της Apple , “που θα είναι διαθέσιμη σε ενημερώσεις λογισμικού την επόμενη εβδομάδα.”
FREAK Attack σημαίνει “επίθεση Factoring στα  RSA-EXPORT keys ». Η ευπάθεια υπήρχε προφανώς για μια δεκαετία, αλλά μόλις πρόσφατα ανακαλύφθηκε και αποκαλύπτεται από τους ερευνητές. Σύμφωνα με την FREAKAttack.com:

Η σύνδεση είναι ευάλωτη, εάν ο διακομιστής δέχεται RSA_EXPORT ακολουθίες  κρυπτογράφησης και ο  client είτε προσφέρει μια ακολουθία RSA_EXPORT ή χρησιμοποιεί μια έκδοση του OpenSSL που είναι ευάλωτη  σε CVE-2015 – 0204. Ευάλωτοι clients δηλαδή desktop computers ή workstations περιλαμβάνουν πολλές Google και Apple συσκευές (που χρησιμοποιούν unpatched OpenSSL), ένας μεγάλος αριθμός των ενσωματωμένων συστημάτων, καθώς και πολλά άλλα προϊόντα λογισμικού που χρησιμοποιούν TLS behind the scenes , χωρίς να απενεργοποιήσουν τις ευάλωτες κρυπτογραφικών ακολουθίες.
Εδώ είναι τι πρέπει να κάνουν διαχειριστές της ιστοσελίδας:

Εάν εκτελείτε έναν web server, θα πρέπει να απενεργοποιήσετε την υποστήριξη τυχόν εξωτερικών ακολουθιών . Ωστόσο, αντί απλά να εξαιρέσετε  RSA  export cipher suites , ενθαρρύνουμε τους διαχειριστές να απενεργοποιήσουν την υποστήριξη για όλoυς τις γνωστούς και ανασφαλής αλγόριθμους κρυπτογράφησης  και να ενεργοποιήσετε τα εμπρός απορρήτου.
Περιλαμβάνουν επίσης μια λίστα με ιστοσελίδες, κάποια από τα μεγαλύτερα στο διαδ’ικτυο, είναι γνωστό ότι είναι ευάλωτα .

Η ασθενέστερη, κρυπτογράφηση 512-bit, που ονομάζεται “export grade» λόγω της πολιτικής των ΗΠΑ, η οποία έληξε στη δεκαετία του 1990, που κάποτε απαγόρευσαν την εξαγωγή των ισχυρών κρυπτογραφήσεων. Αναδεικνύει το εγγενές πρόβλημα με τις κυβερνητικές απαιτήσεις για χαμηλότερα επίπεδα ασφάλειας και “πίσω πόρτες”: Η ασφάλεια είναι πάντα μόνο τόσο ισχυρή όσο ο πιο αδύναμος κρίκος της. Η Wachington δημοσιεύει:

Το [FREAK attack ] πρόβλημα φωτίζει τον κίνδυνο ακούσιων συνεπειών της ασφάλειας σε μια εποχή που ανώτατοι αξιωματούχοι των ΗΠΑ, απογοητευμένοι από τις  ολοένα και πιο ισχυρές μορφές κρυπτογράφησης για smartphones, έχουν ζητήσει απο τις εταιρείες τεχνολογίας  την παροχή «πόρτας» σε συστήματα για την προστασία της ικανότητας των αρχών επιβολής του νόμου και των υπηρεσιών πληροφοριών να διεξαγάγουν δραστηριότητες επιτήρησης.
Ο Μatthew D.Green, ένας κρυπτογράφος Johns Hopkins ο οποίος βοήθησε στη διερεύνηση του  ελαττώματος  κρυπτογράφησης, ανέφερε ότι οποιαδήποτε απαίτηση να αποδυναμώσει την ασφάλεια προσθέτει πολυπλοκότητα πράγμα που  οι χάκερ μπορούν να εκμεταλλευτούν. “Θα  προσθέσετε βενζίνη σε μια φωτιά,” δήλωσε ο Green. «Όταν λέμε ότι αυτό πρόκειται να κάνει τα πράγματα πιο αδύναμα, το λέμε αυτό για έναν λόγο.”
Με άλλα λόγια, οι πόρτες ανοίγουν. Είναι αυτό που είναι σχεδιασμένες  για να κάνουν.

Σχολιασμός στο forum

About Christina Bourcha

Christina Bourcha
Η Χριστίνα είναι αρθρογράφος του Apple World Hellas.Είναι κάτοχος πτυχίου Ιστορίας και Εθνολογίας,μεταπτυχιακού στην διοίκηση σχολείων και πτυχίου Βοηθών Φαρμακείου (από σπόντα). Πρώτη και αγαπημένη συσκευή το iphone 3gs.Η πρώτη επαφή με την συσκευή ήταν πρωτόγνωρη!Προσεχώς κάτοχος imac και iphone 6 plus gold.Στον ελεύθερο χρόνο της ασχολείται με την ζωγραφική,το διάβασμα και τη φωτογραφία.