FREAK - luka w sieci spowodowana decyzją z 1990 roku

Eksperci ds bezpieczeństwa ostrzegają przed FREAK - luką w SSL i TLS, która może posłużyć do przejmowania ruchu między klientem a serwerem. Powstała ona na skutek decyzji rządu USA na początku... 1990 roku.

Protokoły SSL (Secure Sockets Layer) oraz TLS (Transport Layer Security) stworzone zostały, aby zapewnić prywatność i poufność przesyłanych danych. Jednak znajdująca się w nich luka może posłużyć atakującemu do obniżenia siły szyfrowania połączenia, co pozwala na łatwe przeprowadzenie ataku typu "man-in-the middle" (podobną metodę stosował niesławny, wprowadzony przez Lenovo adware Superfish). Współcześnie używane protokoły używają do szyfrowania algorytmu RSA 2048-bit. Atak umożliwia "obniżenie" tego do klucza szyfrowania do 512-bit, który stosowany był dwie dekady temu. Na atak narażone są m.in. przeglądarka Safari, system operacyjny Android oraz aplikacje sieciowe i serwery używające OpenSSL w wersji wcześniejszej niż 1.0.1k.

FREAK (grafika: PC World)

FREAK (grafika: PC World)

Co z rządem USA w tej sprawie? Według profesora Eda Feltena z uniwersytetu Prinecton, na początku roku 1990 roku wydał on dyrektywę, która zakazywała rodzimym producentom oprogramowania wysyłania za granicę softu z silnymi kluczami szyfrującymi. Oznacza to, że producenci aplikacji eksportowali je za granicę ze słabszymi zabezpieczeniami, e tym kluczami szyfrowania. Gdy dyrektywa została zmieniona i można było rozprowadzać solidnie chronione oprogramowanie na cały świat, słabsze zabezpieczenia nadal pozostały w użyciu jako element składowy aplikacji.

Po ujawnieniu tej informacji większość kompanii zadeklarowała wypuszczenie łatki w jak najszybszym terminie. Za odkrycie luki odpowiada Karthikeyan Bhargavan z francuskiego instytutu badawczego INRIA.


Zobacz również