Gli hacker ora possono origliare anche su un canale crittografato

CCC 2016 Nintendo (Aprile 2025)

CCC 2016 Nintendo (Aprile 2025)
Anonim
Sommario:
  • Le scoperte
  • Che cosa hanno da dire gli esperti?
  • Cosa sai fare?

Se pensavi che i tuoi dati fossero al sicuro, ripensaci. Perché, secondo gli studi accademici, è stato scoperto che a causa della vulnerabilità di TLS 1.3, gli hacker possono ora attingere a un canale protetto e raccogliere dati per scopi dannosi.

Il documento di ricerca è stato pubblicato dall'Università di Tel Aviv, dall'Università di Adelaide e dall'Università del Michigan e dal Weizmann Institute. Inoltre, NCC Group e Data61 hanno anche concluso risultati simili.

Le scoperte

L'attacco è una versione modificata dell'attuale attacco dell'oracolo di Bleichenbacher che in passato è stato in grado di decodificare un messaggio crittografato RSA utilizzando la crittografia a chiave pubblica.

Questa nuova ondata, tuttavia, cerca di lavorare contro il TLS 1.3, che è l'ultima versione tra i protocolli TLS. Le autorità credevano che fosse sicuro ma a quanto pare non lo è e questo è allarmante!

Poiché TLS 1.3 non supporta lo scambio di chiavi RSA, i ricercatori hanno ritenuto opportuno procedere con la versione di downgrade, ad esempio TLS 1.2 ai fini della valutazione dell'attacco.

Di conseguenza mitigazioni del downgrade come un lato server e due client che aggirano l'attacco downgrade. Concludendo, che se ci fossero chiavi RSA più grandi, questi attacchi avrebbero potuto essere prevenuti e anche il timeout della stretta di mano si sarebbe ridotto.

Sono state studiate nove diverse implementazioni TLS; OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL e GnuTLS dai quali BearSSL e BoringSSL di Google erano al sicuro. Tutti gli altri sono rimasti vulnerabili.

Che cosa hanno da dire gli esperti?

Per quanto riguarda il numero di attacchi, Broderick Perelli-Harris, direttore senior di Venafi, crede che siano spuntati dal 1988 sotto le variazioni di Bleichenbacher. Pertanto, non sorprende che anche TLS 1.3 sia vulnerabile.

Jake Moore, specialista della sicurezza informatica di ESET UK, ritiene che l'attacco di natura crittografica non sia il primo e non sarà l'ultimo del suo genere. È anche dell'opinione che sia simile al gioco di Whac-A-Mole: ogni volta che viene applicata una correzione di sicurezza, ne compare un'altra.

Cosa sai fare?

Tutto sommato, il difetto sta nel trucco originale del protocollo di crittografia TLS. Ma per ora a causa del design stesso del protocollo di patching è l'unica strada da percorrere.

Cosa puoi fare per proteggerti nel frattempo? Utilizza l'autenticazione a due fattori (2FA), mantieni aggiornato il tuo software come anti-malware / antivirus, impostando password più forti e un servizio VPN decente come Ivacy.

Gli 8 migliori diffusori a canale centrale da acquistare nel 2018

Gli 8 migliori diffusori a canale centrale da acquistare nel 2018

Leggi le nostre recensioni e acquista i migliori diffusori del canale centrale di famose compagnie audio, tra cui Definitive Technology, Polk Audio, Yamaha, JBL e altro.

Utilizzo di Windows EFS (file system crittografato)

Utilizzo di Windows EFS (file system crittografato)

Windows EFS (Encrypted File System) può aiutarti ad aggiungere sicurezza e protezione extra ai tuoi file per assicurarti che gli utenti non autorizzati.

Gli utenti Alexa possono ora eliminare la cronologia dei comandi vocali

Gli utenti Alexa possono ora eliminare la cronologia dei comandi vocali

Amazon rilascia il supporto per gli utenti dei dispositivi Amazon e Alexa per cancellare tutta la loro cronologia vocale per il giorno con questo semplice comando.

Scelta Del Redattore