Hackare kan nu avlyssna även på krypterad kanal

Cicada 3301: An Internet Mystery (Maj 2025)

Cicada 3301: An Internet Mystery (Maj 2025)
Anonim
Innehållsförteckning:
  • Resultaten
  • Vad har experter att säga?
  • Vad kan du göra?

Om du trodde att dina uppgifter var säkra, tänk igen. Eftersom det enligt akademiska studier visade sig att hackare nu på grund av TLS 1.3-sårbarheten nu kan utnyttja en säker kanal och kan skörda data för skadlig avsikt.

Forskningsrapporten publicerades av Tel Aviv University, University of Adelaide och University of Michigan samt Weizmann Institute. Dessutom har NCC Group och Data61 också slutit liknande resultat.

Resultaten

Attacken är modifierad version av själva Bleichenbacher-orakelattacken som tidigare kunde avkoda ett RSA-krypterat meddelande med hjälp av Public-Key Cryptography.

Denna nya våg försöker emellertid arbeta mot TLS 1.3, som är den senaste versionen bland TLS-protokollen. Myndigheterna trodde att det var säkert men tydligen är det inte och det är oroande!

Eftersom TLS 1.3 inte stöder RSA-nyckelutbyte, tyckte forskare att det bäst skulle gå vidare med nedgraderingsversionen, dvs. TLS 1.2 för att bedöma attacken.

Som ett resultat nedgraderas minskningar såsom en server-sida och två-klientsida som kringgår nedgraderingsattacken. Därmed dras slutsatsen att om det fanns större RSA-nycklar skulle dessa attacker ha kunnat förhindras och dessutom skulle handskakningstiden ha förkortats.

Nio olika TLS-implementationer studerades; OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL och GnuTLS varav BearSSL och Googles BoringSSL var säkra. Alla de andra förblev sårbara.

Vad har experter att säga?

När det gäller antalet attacker tror Broderick Perelli-Harris, sr. Direktör på Venafi att de har dykt upp sedan 1988 under variationer av Bleichenbacher. Därför är det inte förvånande att TLS 1.3 också är sårbara.

Jake Moore, cybersäkerhetsspecialist på ESET UK anser att attacken av kryptografisk natur inte är den första och inte kommer att vara den sista i sitt slag. Han är också av den uppfattningen att det liknar spelet med Whac-A-Mole - varje gång en säkerhetsfix tillämpas dyker upp en annan.

Vad kan du göra?

Sammantaget är bristen i den ursprungliga sminkningen av TLS-krypteringsprotokollet. Men för närvarande på grund av själva utformningen av protokollet är patchen den enda vägen framåt.

Vad du kan göra för att skydda dig under tiden? Använd tvåfaktorautentisering (2FA), håll din programvara uppdaterad, t.ex. anti-malware / antivirus, ställa in starkare lösenord och en anständig VPN-tjänst som Ivacy.

Hur man skyddar lösenord från hackare med KeepassX

Hur man skyddar lösenord från hackare med KeepassX

KeepassX hjälper dig att skapa starka och unika lösenord för att skydda dina onlinekonton från hackare.

5 sätt att arbeta för en teknisk start - även om du inte kan koda

5 sätt att arbeta för en teknisk start - även om du inte kan koda

Vill du arbeta för en start, men vet inte skillnaden mellan python och PHP? Det är ok. Det finns många jobb som inte kräver teknisk kompetens - du behöver bara veta vad du ska leta efter.

Hur du kan hålla dig motiverad även efter att du har gjort det

Hur du kan hålla dig motiverad även efter att du har gjort det

När du redan har uppnått en bit av dina karriärmål, kan det vara svårt att hålla sig motiverad för att nå nästa steg. Här är ett trick att fortsätta.

Redaktionen