Webinaria Passus: Jak deszyfrować ruch SSL/TLS na potrzeby analizy bezpieczeństwa
Krytyczny nowy luka w protokole SSL lub warstwa Secure Sockets Layer używana do ochrony ruchu w Internecie w przypadku bankowości internetowej, zakupów i każdego innego połączenia https, pozwala atakującemu włamać się do dowolnego teoretycznie zabezpieczonego połączenia i dodać złośliwe polecenia.
Wykorzystanie tej usterki wymaga uzyskiwanie dostępu do określonego ruchu sieciowego między klientem, takim jak przeglądarka internetowa, a Internetem lub innym serwerem. Oznacza to, że większość użytkowników domowych prawdopodobnie nie byłaby specjalnie atakowana przez jeden z tych potencjalnych ataków man-in-the-middle, według odkrywcy Marsh Ray, badacza bezpieczeństwa w PhoneFactor, który zapewnia oparte na telefonach dwuskładnikowe rozwiązania uwierzytelniające.
Firmy i organizacje są jednak prawdopodobnie celami. Per Ray, każdy ruch chroniony protokołem SSL może potencjalnie być podatny na ataki, niezależnie od tego, czy chodzi o stronę https, bezpieczną komunikację z bazą danych czy zabezpieczone połączenie e-mail. Problem nie pozwala na odszyfrowanie i kradzież danych szyfrowanych za pomocą protokołu SSL, ale pozwala wstawić dowolne polecenie do strumienia komunikacyjnego.
[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]To by było Wystarczająco złe dla ruchu https, gdzie można wykonać przeglądarkę internetową ofiary, aby opublikować dane w witrynie kontrolowanej przez atakującego. Może to okazać się druzgocące dla serwera baz danych.
Ray twierdzi, że PhoneFactor w sierpniu znalazł lukę podczas przeprowadzania wewnętrznych testów bezpieczeństwa i utrzymywał to w spokoju, podczas gdy dostawcy i grupy oprogramowania pracowały nad poprawką. Ale w międzyczasie niezależny badacz również znalazł wadę i wiadomości się zepsuły.
Naszywki są w toku, ale jeszcze nie są dostępne. Proponowana obecnie poprawka będzie wymagać łatania wszystkich aplikacji klienckich i serwerowych, w tym przeglądarek internetowych, programów pocztowych i wszelkich innych programów korzystających z bibliotek SSL, zgodnie z Ray.
Stanowisko PhoneFactor dotyczące problemu znajduje się na stronie firmy, a Badacz bezpieczeństwa o nazwisku Chris Paget opublikował swoje przemyślenia na ten temat (przewiń w dół do komentarzy, aby zobaczyć fragmenty między Rayem i Pagetem). Serwis informacyjny IDG również ma dobrą historię na ten temat.
Przy 10-letnim znaku, błyszcząca fasada Google pokazuje pęknięcia
Teraz, gdy Google osiągnął 10-letnią markę, firma boryka się ze złożonością i wyzwaniami związanymi z kulturą.
Nowe pęknięcia ataków Powszechne szyfrowanie Wi-Fi w minutę
Japońscy naukowcy opracowali sposób na złamanie szyfrowania WPA za około minutę.
Brak internetu, zabezpieczony - Napraw błąd Wi-Fi Windows 10
Jeśli połączenie bezprzewodowe jest dostępne, ale otrzymujesz komunikat Brak internetu, Zabezpieczony, te kroki rozwiązywania problemów pomogą w rozwiązaniu problemu.