- Konstatējumi
- Kas ekspertiem jāsaka?
- Ko tu vari izdarīt?
Ja domājāt, ka jūsu dati ir droši, tad padomājiet vēlreiz. Tā kā saskaņā ar akadēmiskajiem pētījumiem tika atklāts, ka TLS 1.3 ievainojamības dēļ hakeri tagad var iekļūt drošā kanālā un var iegūt datus ļaunprātīga nodoma dēļ.
Pētījumu publicēja Telavivas universitāte, Adelaidas universitāte un Mičiganas universitāte, kā arī Veizmana institūts. Turklāt līdzīgus secinājumus ir secinājuši arī NCC grupa un Data61.
Konstatējumi
Uzbrukums ir modificēts faktiskā Bleichenbacher orākula uzbrukuma versija, kas agrāk spēja atšifrēt RSA šifrētu ziņojumu, izmantojot publiskās atslēgas kriptogrāfiju.
Šis jaunais vilnis tomēr cenšas darboties pret TLS 1.3, kas ir jaunākā versija starp TLS protokoliem. Varas iestādes uzskatīja, ka tas ir drošs, bet acīmredzot tā nav un tas ir satraucoši!
Tā kā TLS 1.3 neatbalsta RSA atslēgu apmaiņu, pētnieki uzskatīja, ka uzbrukuma novērtēšanas nolūkā vislabāk ir izmantot versiju ar pazeminātu versiju, ti, TLS 1.2.
Tā rezultātā tiek pazemināti tādi samazinājumi kā viena servera un divu klientu puse, kas apiet pazemināšanas uzbrukumu. Tādējādi secinot, ka, ja būtu lielākas RSA atslēgas, šos uzbrukumus būtu bijis iespējams novērst, kā arī saīsināt rokasspiediena noildzi.
Tika pētītas deviņas dažādas TLS ieviešanas; OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL un GnuTLS, no kuriem BearSSL un Google BoringSSL bija droši. Visi pārējie palika neaizsargāti.
Kas ekspertiem jāsaka?
Runājot par uzbrukumu skaitu, Venafi direktors Broderiks Perelli-Hariss uzskata, ka kopš 1988. gada tie ir parādījušies Bleichenbacher variācijās. Tāpēc nav pārsteidzoši, ka arī TLS 1.3 ir neaizsargāta.
Džeiks Mūrs, ESET UK kiberdrošības speciālists, uzskata, ka kriptogrāfijas uzbrukums nav pirmais un nebūs pēdējais šāda veida uzbrukums. Viņš arī uzskata, ka tas ir līdzīgs Whac-A-Mole spēlei - katru reizi, kad tiek piemērots drošības labojums, parādās cits.
Ko tu vari izdarīt?
Kopumā trūkums ir TLS šifrēšanas protokola oriģinālajā aprakstā. Bet pagaidām, ņemot vērā paša protokola dizainu, labošana ir vienīgais ceļš uz priekšu.
Ko jūs varat darīt, lai pa to laiku pasargātu sevi? Izmantojiet divu faktoru autentifikāciju (2FA), regulāri atjauniniet programmatūru, piemēram, pret ļaunprogrammatūru / pretvīrusu, spēcīgāku paroļu iestatīšanu un pienācīgu VPN pakalpojumu, piemēram, Ivacy.
