Защита ПК! Форум.

Защита компьютера от вирусов

Партнеры

Создать форум

Кто сейчас на форуме

Сейчас посетителей на форуме: 1, из них зарегистрированных: 0, скрытых: 0 и гостей: 1

Нет


[ Посмотреть весь список ]


Больше всего посетителей (120) здесь было Ср Авг 02, 2017 2:06 pm

RSS-каналы


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 

    Метод атаки CRIME показал потенциальную уязвимость SSL-протокола

    Admin
    Admin
    Admin

    Сообщения : 656
    Дата регистрации : 2010-12-25
    Возраст : 51
    Откуда : Киев

    Метод атаки CRIME показал потенциальную уязвимость SSL-протокола Empty Метод атаки CRIME показал потенциальную уязвимость SSL-протокола

    Сообщение  Admin в Вс Окт 07, 2012 6:08 am

    Эксперты eScan
    рассказали, как защитить свой компьютер от новой уязвимости протоколов
    SSL, TLS и SPDY, обеспечивающих защиту соединений и передаваемых данных в
    Интернете.

    Очередную уязвимость протоколов SSL, TLS и SPDY
    продемонстрировали недавно исследователи Джулиано Риззо и Тай Дуонг на
    конференции Ekoparty в Буэнос-Айресе. Атака с использованием новой бреши
    получила название CRIME (Compression Ratio Info-leak Made Easy).

    Во время атаки CRIME эксплуатируются алгоритмы сжатия данных.
    Рассмотрим, как это происходит, на примере протокола SSL: Получив
    сообщение для отправки, SSL разбивает его на блоки, при необходимости
    сжимает, вычисляет код аутентичности MAC, шифрует, добавляет заголовок и
    передает. Сжатие является необязательной, но часто используемой
    функцией SSL. Атака CRIME основана на изменении размера сжатых
    сообщений, что происходит, например, при добавлении аутентификационных
    данных куки. Тот факт, что сжатие происходит до шифрования, а информация
    не подвергается дополнительной рандомизации, позволяет злоумышленнику
    расшифровать сообщение и, если украдены куки, произвести
    несанкционированную авторизацию в системе.

    Для проведения атаки CRIME на компьютер жертвы необходимо
    загрузить вредоносный код. Это можно сделать, к примеру, перенаправив
    пользователя на инфицированную веб-страницу.


    Метод атаки CRIME показал потенциальную уязвимость SSL-протокола Post
    Ранее те же исследователи показали возможность успешного взлома
    протоколов SSL и TLS с помощью уязвимости блочных шифров (атака Browser
    Exploit Against SSL/TLS, BEAST).

    «Атака CRIME имеет потенциал стать популярной среди хакеров
    благодаря своей эффективности и относительной простоте применения, -
    комментируют эксперты eScan в России и странах СНГ. – Вероятно, скоро мы
    увидим появление не лабораторных, а реальных хакерских инструментов,
    автоматизирующих такого рода атаки».

    Значительный интерес к защищённости SSL-соединений вызван, в
    частности, развитием облачных технологий. Все большее число компаний и
    домашних пользователей используют облачные сервисы для хранения и
    обработки важной информации, а подключение к таким службам в большинстве
    случаев осуществляется через веб-браузер с использованием технологии
    SSL. Уязвимость в системе защиты потенциально дает злоумышленникам
    практически неограниченные возможности для хищения важной информации.

    «Для вскрытия зашифрованных сообщений во время атаки CRIME хакеру
    нужно иметь возможности прослушивать сетевой трафик и принуждать
    браузер жертвы отправлять запросы на определенный сервер. Это вполне
    осуществимо, учитывая высокий уровень современных хакерских технологий, -
    добавляют эксперты eScan. - Однако также требуется, чтобы и сервер, и
    клиентская машина поддерживали опцию сжатия данных до шифрования.
    Поэтому мы рекомендуем использовать последние версии браузеров, в
    которых разработчики уже отключили эту опцию, а на серверной стороне –
    отключить её самостоятельно».

    Ниже приведён список актуальных версий браузеров с отключенной функцией сжатия SSL:


    • Google Chrome 21.0.1180.89;
    • Firefox 15.0.1;
    • Opera 12.01;
    • Safari 5.1.7 для Windows;
    • Safari 5.1.6 & 6 для OSX Lion;
    • Все версии Internet Explorer.

    Администраторы могут проверить веб-серверы на наличие функции SSL-сжатия на специальном сайте .

      Текущее время Вс Июл 12, 2020 6:32 pm

      Яндекс.Метрика