แฮกเกอร์สามารถดักฟังได้แม้ในช่องทางการเข้ารหัส

Anonim
สารบัญ:
  • ผลการวิจัย
  • ผู้เชี่ยวชาญต้องพูดอะไร
  • คุณทำอะไรได้บ้าง?

หากคุณคิดว่าข้อมูลของคุณปลอดภัยแล้วให้คิดใหม่อีกครั้ง เนื่องจากจากการศึกษาทางวิชาการพบว่าเนื่องจากช่องโหว่ของ TLS 1.3 ทำให้แฮกเกอร์สามารถเข้าถึงช่องทางที่ปลอดภัยและสามารถรวบรวมข้อมูลเพื่อหาจุดประสงค์ที่เป็นอันตรายได้

บทความวิจัยถูกตีพิมพ์โดยมหาวิทยาลัยเทลอาวีฟมหาวิทยาลัยแอดิเลดและมหาวิทยาลัยมิชิแกนรวมถึงสถาบัน Weizmann นอกจากนี้กลุ่ม NCC และ Data61 ยังได้ข้อสรุปที่คล้ายกัน

ผลการวิจัย

การโจมตีเป็นเวอร์ชั่นที่แก้ไขของการโจมตีแบบออราเคิลของ Bleichenbacher ที่เกิดขึ้นจริงซึ่งในอดีตสามารถถอดรหัสข้อความที่เข้ารหัส RSA โดยใช้การเข้ารหัสลับแบบสาธารณะ

อย่างไรก็ตามคลื่นลูกใหม่นี้พยายามที่จะทำงานกับ TLS 1.3 ซึ่งเป็นรุ่นล่าสุดในบรรดาโปรโตคอล TLS เจ้าหน้าที่เชื่อว่ามันปลอดภัย แต่เห็นได้ชัดว่าไม่ได้และนั่นก็น่าตกใจ!

เนื่องจาก TLS 1.3 ไม่รองรับการแลกเปลี่ยนคีย์ RSA นักวิจัยจึงคิดว่าควรทำการปรับลดรุ่นต่อไปเช่น TLS 1.2 เพื่อการประเมินการโจมตี

เนื่องจากการลดระดับการลดระดับผลลัพธ์เช่นฝั่งเซิร์ฟเวอร์หนึ่งฝั่งและฝั่งไคลเอ็นต์สองฝั่งซึ่งข้ามการโจมตีระดับล่าง สรุปว่าหากมีคีย์ RSA ที่ใหญ่กว่าการโจมตีเหล่านี้จะสามารถป้องกันได้และการหมดเวลาของการจับมือจะลดลง

มีการศึกษาการใช้ TLS ต่าง ๆ เก้าแบบ OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL และ GnuTLS ซึ่ง BearSSL และ BoringSSL ของ Google ปลอดภัย อื่น ๆ ทั้งหมดยังคงมีความเสี่ยง

ผู้เชี่ยวชาญต้องพูดอะไร

เท่าที่จำนวนของการโจมตีมีความกังวล Broderick Perelli-Harris ผู้อำนวยการอาวุโสที่ Venafi เชื่อว่าพวกเขาได้โผล่ขึ้นมาตั้งแต่ปี 1988 ภายใต้การเปลี่ยนแปลงของ Bleichenbacher ดังนั้นจึงไม่น่าแปลกใจที่ TLS 1.3 มีความเสี่ยงเช่นกัน

Jake Moore ผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์ของ ESET UK มีความเห็นว่าการโจมตีลักษณะการเข้ารหัสไม่ใช่ครั้งแรกและจะไม่ใช่ครั้งสุดท้าย เขายังมีความเห็นว่ามันคล้ายกับเกมของ Whac-A-Mole - ทุกครั้งที่มีการใช้การแก้ไขด้านความปลอดภัยอีกคนหนึ่งจะปรากฏขึ้น

คุณทำอะไรได้บ้าง?

โดยรวมแล้วข้อบกพร่องอยู่ในรูปแบบดั้งเดิมของโปรโตคอลการเข้ารหัส TLS แต่สำหรับตอนนี้เนื่องจากการออกแบบของการแก้ไขโปรโตคอลเป็นวิธีเดียวที่จะส่งต่อ

คุณสามารถทำอะไรเพื่อป้องกันตัวเองในระหว่างนี้ ใช้การรับรองความถูกต้องด้วยสองปัจจัย (2FA) อัปเดตซอฟต์แวร์ของคุณเช่นป้องกันมัลแวร์ / ป้องกันไวรัสตั้งค่ารหัสผ่านที่แข็งแกร่งและบริการ VPN ที่เหมาะสมเช่น Ivacy

ตัวเลือกของบรรณาธิการ