118359
Специалист компании Imperva Ицхик Мантин (Itsik Mantin) опубликовал результаты исследования уязвимости, существующей в протоколе шифрования данных SSL/TLS и позволяющей раскрыть конфиденциальную информацию.
Согласно отчету под названием «Атака на SSL с помощью RC4» («Attacking SSL when using RC4»), уязвимость связана с использованием слабозащищенного потокового шифра RC4 (Rivest cipher 4), разработанного ещё в 1987 году.
В отчете отмечается, что эксплуатация данной уязвимости не требует осуществления атаки «человек посередине», а предполагает пассивное наблюдение за SSL/TLS-соединениями, в ходе которого злоумышленник дожидается соединения с использованием слабого ключа шифрования, позволяющего расшифровать важные данные, передаваемые по SSL/TLS, в текстовом виде. Выявление слабого ключа становится возможным благодаря статистическим погрешностям в RC4 ключе, позволяющим обнаружить в первых нескольких байтах ключевого потока предсказуемую информацию: HTTP запрос и образцы обычного текста. Таким образом могут быть перехвачены логин и пароль пользователя, финансовая информация и другие конфиденциальные данные.
В настоящее время RC4 используется для защиты более 30% всего SSL/TLS-трафика в сети Интернет.
Для защиты от уязвимости пользователям рекомендуется отключить алгоритм RC4 в конфигурации TLS браузера. По мнению Мантина, разработчикам браузеров также следует поднять вопрос об удалении RC4 из списков шифров TLS.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru