Foto:Sharon Mollerus / licencováno pod CC BY 2.0
Přehled Logjam
Dne 20. května 2015 tým výzkumníků oznámil novou zranitelnost v protokolu, která umožňuje webovým serverům vytvářet zabezpečené (HTTPS) připojení k webovým prohlížečům. Tým počítačových vědců a bezpečnostních specialistů z různých univerzit a technologických společností nazval toto zneužití Logjam Attack a ukázal, jak může útočník typu man-in-the-middle downgrade zranitelné připojení TLS použít šifrovací šifru, kterou lze „relativně snadno“ prolomit. . Tento útok je nejnovějším z řady útoků na downgrade šifry, jako jsou FREAK a POODLE, které se zaměřují na implementace protokolu HTTPS.
Přehled SSL/TLS
Abychom pochopili, jak tento útok funguje, může být užitečné zkontrolovat, jak TLS (Transport Layer Security, i když na tento protokol často stále odkazuje inicialismus svého předchůdce, SSL, Secure Sockets Layer) chrání připojení HTTPS. Když webový prohlížeč požaduje webovou stránku prostřednictvím připojení HTTPS, hostitelský server nejprve nabídne svůj certifikát k ověření své identity, který používá asymetrickou kryptografii v rámci infrastruktury veřejného klíče. Po ověření server zahájí vyjednávání s klientským prohlížečem o tom, jakou šifrovací sadu použije pro připojení. Ve většině případů použijí nejrobustnější šifrovací sadu, na které se mohou dohodnout. Když určí šifrovací algoritmus, vyjednají svůj sdílený tajný klíč prostřednictvím procesu zvaného Diffie-Hellman Key Exchange.
Výměna klíčů Diffie-Hellman
Výměna klíčů Diffie-Hellman umožňuje bezpečné generování nového sdíleného klíče mezi stranami na nezabezpečeném médiu. Čím větší je bitová délka skupiny Diffie-Hellman, tím je odolnější vůči prolomení útokem hrubou silou. Skupiny 1024 bitů jsou široce používány, ačkoli výzkumníci, kteří objevili zranitelnost Logjam, předpokládají, že státem podporovaní aktéři jsou na dosah, aby prolomili šifrování této síly. Chyba zabezpečení Logjam je zneužívána tím, že jsou obě strany nuceny downgradovat skupinu Diffie-Hellman na 512bitovou skupinu, kterou lze prolomit během několika minut.
Jak bychom měli být znepokojeni?
Využití zranitelnosti Logjam vyžaduje, aby útočník zaujal pozici muže uprostřed. Jinými slovy, útočník by potřeboval přistupovat ke stejné síti jako klient, server nebo jakýkoli ISP mezi nimi. Tento přístup, který zahrnuje většinu kabelových připojení, je obecně zazděn u většiny slídilů zahradních odrůd. Pokud přistupujete k internetu prostřednictvím otevřeného veřejného přístupového bodu wi-fi, můžete mít důvod k obavám, ať už z důvodu zneužití této chyby zabezpečení nebo řady dalších. V takovém případě je nejlepší použít VPN (pokud máte obavy o bezpečnost, pak je to v každém případě prozíravá strategie).
Pokud se útočníkovi podaří tento exploit využít, je to pouze první krok. Stále vyžaduje, aby útočník přistupoval k zařízení s významným výpočetním výkonem, aby úspěšně dešifroval veškerý zachycený a snížený šifrovaný provoz. Jako takový to není nejpřímější trik k provedení, takže to pravděpodobně není zranitelnost, že by člověk měl ztrácet příliš mnoho spánku. Zranitelnost je však zranitelnost, takže čím dříve bude záplata opravena, tím dříve ji můžete vyřadit ze seznamu věcí, kterých byste se měli obávat.
Co dělat, abyste se ochránili
Od vydání zprávy o tomto objevu byla pro tento exploit opravena pouze nejnovější verze Internet Exploreru (nutno podotknout, že jeden z výzkumníků tohoto týmu pracuje pro Microsoft Research). Mozilla, Google a Apple oznámily, že pracují na opravách pro své prohlížeče Firefox, Chrome a Safari. Po vydání těchto oprav byste měli aktualizovat prohlížeč na tyto verze, abyste povolili ochranu před touto chybou zabezpečení. Mezitím, pokud se obáváte, že byste byli vystaveni tomuto druhu útoku, možná budete chtít zůstat u IE pro bezpečné procházení.
Předpokládejme, že spravujete webový nebo e-mailový server. V takovém případě můžete svou zranitelnost zmírnit odstraněním seznamu exportních sad šifrovacích sad (staré, záměrně oslabené šifry, které byly kdysi jedinou šifrovací technologií povolenou pro export mimo Spojené státy). Skupina, která objevila tento exploit, také doporučila použití Elliptic Curve Diffie-Hellman, Ephemeral (ECDHE) jako preferované šifry pro jejich odolnost vůči všem známým kryptografickým útokům. Podívejte se na jejich stránky, kde můžete otestovat svůj server a získat pokyny k provádění těchto změn konfigurace.
Prvotřídní hostingová řešení VPS společnosti Atlantic.Net a technický personál pracují nepřetržitě a zajišťují, že data našich zákazníků jsou bezpečná a soukromá. Neváhejte kontaktovat naše zaměstnance a podívejte se na naše stránky komunity a blogu, kde najdete další aktualizace.
Zjistěte více o našich hostingových službách VPS a ceně hostingu VPS.