Hackers kunnen nu zelfs op versleuteld kanaal luisteren

Crowd Power 2 | Reloading reality | Arjan en Martijn | M009 (Mei 2024)

Crowd Power 2 | Reloading reality | Arjan en Martijn | M009 (Mei 2024)
Anonim
Inhoudsopgave:
  • De bevindingen
  • Wat zeggen experts?
  • Wat kan je doen?

Als u dacht dat uw gegevens veilig waren, denk dan nog eens goed na. Omdat volgens academische onderzoeken is vastgesteld dat hackers vanwege TLS 1.3 nu een beveiligd kanaal kunnen gebruiken en gegevens kunnen verzamelen voor kwaadwillende doeleinden.

Het onderzoekspaper werd gepubliceerd door de Universiteit van Tel Aviv, de Universiteit van Adelaide en de Universiteit van Michigan en het Weizmann Institute. Bovendien hebben NCC Group en Data61 ook soortgelijke bevindingen geconcludeerd.

De bevindingen

De aanval is een gemodificeerde versie van de daadwerkelijke orakelaanval van Bleichenbacher die in het verleden een RSA-gecodeerd bericht kon decoderen met behulp van Public-Key Cryptography.

Deze nieuwe golf wil echter werken tegen de TLS 1.3, de nieuwste versie van de TLS-protocollen. Autoriteiten geloofden dat het veilig was, maar blijkbaar is het niet en dat is alarmerend!

Aangezien TLS 1.3 geen RSA-sleuteluitwisseling ondersteunt, dachten onderzoekers dat het het beste was om door te gaan met de downgrade-versie, namelijk TLS 1.2 voor het beoordelen van de aanval.

Dientengevolge worden downgrades beperkt, zoals één serverzijde en twee clientzijde, waardoor de downgrade-aanval wordt omzeild. De conclusie luidt dus dat als er grotere RSA-sleutels waren, deze aanvallen hadden kunnen worden voorkomen en dat de time-out voor de handshake zou zijn verkort.

Negen verschillende TLS-implementaties werden bestudeerd; OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL en GnuTLS waarvan BearSSL en Google's BoringSSL veilig waren. Alle anderen bleven kwetsbaar.

Wat zeggen experts?

Wat het aantal aanvallen betreft, denkt Broderick Perelli-Harris, Senior Director bij Venafi dat ze sinds 1988 opduiken onder variaties van Bleichenbacher. Het is daarom niet verwonderlijk dat TLS 1.3 ook kwetsbaar is.

Jake Moore, specialist op het gebied van cyberbeveiliging bij ESET UK, is van mening dat de aanval van cryptografische aard niet de eerste is en niet de laatste in zijn soort. Hij is ook van mening dat het verwant is aan het spel Whac-A-Mole - elke keer dat een beveiligingsfix wordt toegepast, verschijnt er een andere.

Wat kan je doen?

Al met al zit de fout in de oorspronkelijke samenstelling van het TLS-coderingsprotocol. Maar voorlopig, vanwege het ontwerp van het protocol, is patching de enige weg vooruit.

Wat kunt u doen om uzelf ondertussen te beschermen? Gebruik tweefactorauthenticatie (2FA), houd uw software bijgewerkt, zoals anti-malware / antivirus, sterkere wachtwoorden instellen en een fatsoenlijke VPN-service zoals Ivacy.

Handleiding voor het promoten van je spel YouTube-kanaal + MCN-info

Handleiding voor het promoten van je spel YouTube-kanaal + MCN-info

Het promoten van je YouTube-kanaal is buitengewoon moeilijk, en het deelnemen aan een MCN is niet noodzakelijk de snelle weg naar succes. Onze volledige gids legt het allemaal uit.

Hoe de SoundCloud-app te gebruiken om naar gratis muziek te luisteren

Hoe de SoundCloud-app te gebruiken om naar gratis muziek te luisteren

Wil je genieten van wat gratis muziek op je mobiele apparaat en nieuwe dingen ontdekken die de moeite waard zijn om naar te luisteren? Zoek niet verder dan de SoundCloud-app.

Naar de FM-radio luisteren op de iPod Nano

Naar de FM-radio luisteren op de iPod Nano

Het 5e, 6e en 7e gen. iPod-nanos spelen niet alleen MP3's af, ze stemmen ook af op FM-radio. Sterker nog, je kunt live-radio opnemen om later te beluisteren.

Editor'S Choice