форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	–1 +/–
Сообщение от opennews (??) on 04-Мрт-15, 14:16
Исследователи из французского института INRIA (https://ru.wikipedia.org/wiki/INRIA) выявили (http://blog.cryptographyengineering.com/2015/03/attack-of-we...) новый вид атаки на SSL/TLS, который получил название FREAK (https://freakattack.com/), по аналогии с ранее выявленными атаками  POODLE (http://www.opennet.me/opennews/art.shtml?num=40833), BREACH (http://www.opennet.me/opennews/art.shtml?num=37614),  CRIME (http://www.opennet.me/opennews/art.shtml?num=34869) и BEAST (http://www.opennet.me/opennews/art.shtml?num=31797).  Суть атаки сводится к инициированию отката соединения на использование  разрешённого для экспорта набора шифров, включающего недостаточно защищённые устаревшие алгоритмы шифрования. Проблема позволяет вклинится в соединение и организовать анализ  трафика в рамках защищённого канала связи, используя уязвимость (CVE-2015-0204 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204)), выявленную во многих SSL-клиентах и позволяющую сменить шифры RSA на RSA_EXPORT и выполнить дешифровку трафика, воспользовавшись слабым эфемерным ключом (https://ru.wikipedia.org/wiki/%D0%AD%D1%...) RSA. Предоставляемый в RSA_EXPORT 512-битный ключ RSA уже давно не применяется в серверном и клиентском ПО, так как считается не безопасным и подверженным атакам по подбору. Для подбора ключа RSA-512 исследователям потребовалось около семи с половиной часов при запуске вычислений в окружении Amazon EC2. Ключ достаточно подобрать для каждого сервера один раз, после чего подобранный ключ может использоваться для перехвата любых соединений с данным сервером. Уязвимость затрагивает OpenSSL (исправлено в 0.9.8zd, 1.0.0p и 1.0.1k), браузер Safari и разнообразные встраиваемые и мобильные системы, включая Google Android и Apple iOS. Сканирование сети показало, что набор RSA_EXPORT поддерживается приблизительно на 36.7% из общей массы сайтов и на 9.7% из миллиона крупнейших сайтов. Для защиты сервера на базе Apache к параметрам директивы SSLCipherSuite следует добавить (https://mozilla.github.io/server-side-tls/ssl-config-generator/) "!EXPORT". Протестировать сайт на наличие уязвимости можно на данной странице (https://www.ssllabs.com/ssltest/). URL: http://blog.cryptographyengineering.com/2015/03/attack-of-we... Новость: http://www.opennet.me/opennews/art.shtml?num=41782
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+6 +/–
Сообщение от Аноним (??) on 04-Мрт-15, 14:16
Это не баг, это фича (c)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	25. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+/–
	Сообщение от Аноним (??) on 04-Мрт-15, 16:56
	...или к вопросу почему уйма фич и легаси в протоколе - это плохо :)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+6 +/–
Сообщение от Аноним (??) on 04-Мрт-15, 14:39
> RSA_EXPORT 512-битный ключ RSA Надежное шифрование от NSA :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+/–
Сообщение от Аноним (??) on 04-Мрт-15, 14:43
по ссылке не видно проверки на эту атаку.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	–5 +/–
Сообщение от Аноним (??) on 04-Мрт-15, 14:45
>Протестировать сайт на наличие уязвимости можно на данной странице. Шикарный тест. Результат "В". Ни комментариев, ни данных по трактовке.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+1 +/–
	Сообщение от lolshto on 04-Мрт-15, 14:51
	На линк тестируемого сайта в репорте кликни и получишь полный отчет.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	–6 +/–
Сообщение от Аноним (??) on 04-Мрт-15, 14:45
Звиздец, только openssl обновлял,  это ж пол сервера надо будет перекомпилить!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+2 +/–
	Сообщение от Crazy Alex (ok) on 04-Мрт-15, 14:53
	А зачем ты на старую версию обновлял? В OpenSSL дыру закрыли 15 января.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+4 +/–
	Сообщение от demimurych (ok) on 04-Мрт-15, 14:55
	хм. неужели кто то еще на боевых серверах что то перекомпилирует, а не пользуется репозитариями
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	44. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+/–
	Сообщение от user455 on 11-Мрт-15, 11:42
	в аду есть отдельный зал с повышенной температурой горения. там держат тех, кто при жизни говорил репозитарий вместо репозитория.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	10. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+1 +/–
	Сообщение от ryoken on 04-Мрт-15, 14:58
	> Звиздец, только openssl обновлял,  это ж пол сервера надо будет перекомпилить! Gentoo Hardened?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	12. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+/–
	Сообщение от Аноним (??) on 04-Мрт-15, 15:09
	Да
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	21. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+5 +/–
	Сообщение от ананим.orig on 04-Мрт-15, 15:59
	Нет. И cудя по фэку, сомневаюсь что вы компетенты ВООБЩЕ, чтобы установить генту. ☺ Превое — АПИ (и тем более АБИ) не изменялось. Для более-менее специалиста уже всё сказано. Второе — для апача вон рецепт (для уязвимой версии!) уже написан. Третье — вот мой лог установки openssl > # genlop -e dev-libs/openssl >     … >     Fri Oct 17 21:40:39 2014 >>> dev-libs/openssl-1.0.1j >     Fri Jan  9 11:48:08 2015 >>> dev-libs/openssl-1.0.1k >     Sun Jan 18 02:43:41 2015 >>> dev-libs/openssl-1.0.1l >     Fri Jan 23 23:27:35 2015 >>> dev-libs/openssl-1.0.2-r1 >     Wed Feb  4 17:08:36 2015 >>> dev-libs/openssl-1.0.2-r1 >     Wed Mar  4 13:52:04 2015 >>> dev-libs/openssl-1.0.2-r2 Версия k была ещё 9 января. И ни тогда. ни сегодня (см. выше) ничего перекомпилировать не было надобности.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	16. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+1 +/–
	Сообщение от Mike Lee on 04-Мрт-15, 15:30
	А что, в hardened статически линкуется?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	22. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+5 +/–
	Сообщение от ананим.orig on 04-Мрт-15, 16:01
	Да это ламер выпендрился. Может вообще линух только на лив-цд и видел только.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	23. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+4 +/–
	Сообщение от Аноним (??) on 04-Мрт-15, 16:18
	> Gentoo Hardened? Hentoo Gardened.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	17. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+/–
	Сообщение от Аноним (??) on 04-Мрт-15, 15:36
	А зачем у тебя конфигурация ssl-сервисов допускает использование небезопасных шифров?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	26. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+1 +/–
	Сообщение от Аноним (??) on 04-Мрт-15, 17:14
	А ты что, статически линкуешь всё с ssl?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	28. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+1 +/–
	Сообщение от pavlinux (ok) on 04-Мрт-15, 18:22
	А чё самое ох...енное - у все выше отписавшихся нет ни одного сервера, видимо, кроме локалхоста.   Нужно лишь вставить в строку апача/нжинкса SSLCipherSuite ...:!EXPORT:... Причем эта фича баянистая, и кто в теме у всех давно оно выключено. FAQ за 2004 год, https://www.digicert.com/ssl-certificate-installation-apache...
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	33. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+/–
	Сообщение от Аноним (??) on 05-Мрт-15, 01:22
	> Причем эта фича баянистая, и кто в теме у всех давно оно выключено. А ты домой ходешь с миноискателем? Химзу дома не забыл? Каску одел? Бронежилет в наличии? Противогаз в рюкзак положил? Ну, если ты такой прошареный - тебе бояться нечего!
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	35. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+/–
	Сообщение от ананим.orig on 05-Мрт-15, 01:55
	Вот так ламерюги и окупировали опеннет. Нет чтобы просто спросить, если что не понятно, так нет, давай из себя крютого специалиста строить.
	Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

	43. "Новая атака на SSL/TLS, позволяющая организовать..."	+/–
	Сообщение от arisu (ok) on 10-Мрт-15, 15:30
	> Каску одел? во что? и зачем ты занимаешься одеванием каски? ты сумасшедший?
	Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

14. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+1 +/–
Сообщение от Аноним (??) on 04-Мрт-15, 15:16
http://dayswithoutansslexploit.com
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	31. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+/–
	Сообщение от Аноним (??) on 04-Мрт-15, 22:45
	https://istheinternetonfire.com/ ( dig +short txt istheinternetonfire.com )
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

27. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	–1 +/–
Сообщение от Аноним (??) on 04-Мрт-15, 17:41
Посоны, а какое шифрование сейчас можно экспортировать из США и есть ли исключения? Где об этом почитать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	29. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	–2 +/–
	Сообщение от Нанобот (ok) on 04-Мрт-15, 20:00
	>Посоны, а какое шифрование сейчас можно экспортировать из США и есть ли исключения? это смотря куда экспортировать. одно дело, если в банановые республики типа сомали, и совсем другое, если во всякие там расеи и северные кореи
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	30. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+/–
	Сообщение от Аноним (??) on 04-Мрт-15, 21:05
	Публикуя аппы с шифрованием в гугл плее например. То есть для всех доступных там стран.
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	–2 +/–
Сообщение от Аноним (??) on 04-Мрт-15, 22:49
SELinux помогает от таких дырок?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	34. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+5 +/–
	Сообщение от Аноним (??) on 05-Мрт-15, 01:25
	> SELinux помогает от таких дырок? Не больше чем миноискатель помогает от падения сосульки на голову.
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

	37. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+/–
	Сообщение от ананим.orig on 05-Мрт-15, 06:17
	Это не дыра, это штатная функциональность. Которая просто устарела. А может специально оставили, х/з.
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

	39. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	–1 +/–
	Сообщение от Аноним (??) on 05-Мрт-15, 07:29
	> может специально оставили Это и называется - дыра.
	Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

	42. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+/–
	Сообщение от Andrew Kolchoogin (ok) on 10-Мрт-15, 06:14
	Угу. Устарело у них... [поездивший по миру mode on] Во Франции это скажите. Там полицейский департамент быстро вам пояснит, у кого и что устарело. [поездивший по миру mode off] В мире, увы, бывают и "очень странные страны". Причём неочевидно странные.
	Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

36. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+2 +/–
Сообщение от Аноним (??) on 05-Мрт-15, 03:19
Интернет 2 спасёт безысходное положение.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	45. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+/–
	Сообщение от Мицгол on 11-Мрт-15, 20:29
	нет, только Векторный Гипертекстовый Фидонет
	Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

46. "Новая атака на SSL/TLS, позволяющая организовать перехват HT..."	+/–
Сообщение от Dmitriy (??) on 30-Мрт-16, 10:15
Нормальный крекер расшифрует лубой RSA KEY-512, при этом используя инструмент и голову на плечах, и это не урод, а граммотный человек лучше чем играть в танки и.т.д
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	47. "Новая атака на SSL/TLS, позволяющая организовать..."	+/–
	Сообщение от arisu (ok) on 30-Мрт-16, 12:08
	«крекер» — это печенька такая. а ты — дурак.
	Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема