Представлена новая атака на TLS
Представлена новая атака на TLS по мотивам нашумевшей атаки FREAK. Суть осталась прежней — откат на старые и уязвимые технологии. Вместо понижения стойкости шифров теперь производится производится откат протокола Диффи-Хеллмана до слабого DHE_EXPORT, позволяющего осуществить подбор ключа шифрования.
При использовании сервером 512-битных начальных чисел Диффи-Хеллмана вероятность успешной атаки составляет 80%. Очень вероятно, что мощности спецслужб позволяют подбирать 1024-разрядные начальные числа. Взлом даже одного из начальных чисел позволяет прослушивать HTTPS-трафик. Взлом обоих чисел даёт возможность прослушивать VPN и SSH.
Уязвимы все популярные браузеры и многие веб-серверы. Подготовлен специальный ресурс, где можно проверить свой сервер на уязвимость и получить инструкции для правильной его настройки.
Из миллиона самых популярных доменов уязвимы:
8.4% доменов 3.4% HTTPS-сайтов 8.9% POP3S-серверов 8.4% IMAPS-серверов 25.7% SSH-серверов 66.1% IPsec VPN tls, уязвимость
