НЕНОРМАЛЬНЫЙ

НЕНОРМАЛЬНЫЙ
Идентификатор(ы) CVE	CVE - 2015-0204 (ОпенSSL), CVE- 2015-1637 (Сканал), CVE- 2015-1067 (Безопасный транспорт)
Дата обнаружения	3 марта 2015 г .; 9 лет назад
Первооткрыватель	Институт программного обеспечения IMDEA , INRIA , Microsoft Research
Затронутое программное обеспечение	Клиентские TLS библиотеки (включая OpenSSL , Schannel и Secure Transport)

FREAK (« Факторинг ключей экспорта RSA ») — это эксплуатация безопасности криптографической уязвимости в протоколах SSL/TLS , введенных десятилетиями ранее для соответствия правилам экспорта криптографии США . Они включали ограничение экспортируемого программного обеспечения использованием только пар открытых ключей с модулями RSA 512 бит или меньше (так называемые ключи RSA EXPORT (АНБ) легко взломать их ) с намерением позволить Агентству национальной безопасности , а не другие организации с меньшими вычислительными ресурсами. Однако к началу 2010-х годов рост вычислительной мощности означал, что их мог взломать любой, кто имел доступ к относительно скромным вычислительным ресурсам с использованием известного алгоритма «Сито числового поля» , используя всего лишь 100 долларов США на услуги облачных вычислений . В сочетании с возможностью атаки «человек посередине» манипулировать первоначальным согласованием набора шифров между конечными точками соединения и тем фактом, что готовый хэш зависел только от главного секрета, это означало, что «человек посередине» Атака «-middle», требующая лишь скромного объема вычислений, может нарушить безопасность любого веб-сайта, допускающего использование 512-битных ключей экспортного уровня. Хотя эксплойт был обнаружен только в 2015 году, лежащие в его основе уязвимости существовали уже много лет, начиная с 1990-х годов. ^[1]

Уязвимость

Уязвимость обнаружили исследователи из IMDEA Software Institute , INRIA и Microsoft Research . ^[2]^[3] Атака FREAK в OpenSSL имеет идентификатор CVE — 2015-0204 . ^[4]

программ и устройств входили Apple В число уязвимых веб-браузер Safari , браузер по умолчанию в Google операционной системе Android , Microsoft Explorer Internet и OpenSSL . ^[5]^[6] Microsoft также заявила, что ее реализация шифрования транспортного уровня Schannel уязвима для версии атаки FREAK во всех версиях Microsoft Windows . ^[7] Идентификатор CVE для уязвимости Microsoft в Schannel — CVE . 2015-1637 . ^[8] Идентификатор CVE для уязвимости Apple в Secure Transport — CVE . 2015-1067 . ^[9]

Сайты, затронутые уязвимостью, включали сайты федерального правительства США fbi.gov, whitehouse.gov и nsa.gov, ^[10] около 36% веб-сайтов, использующих HTTPS, протестированных одной группой безопасности, оказались уязвимыми для этого эксплойта. ^[11] По данным анализа геолокации с помощью IP2Location LITE, 35% уязвимых серверов расположены в США. ^[12]

В сообщениях прессы об эксплойте его последствия описываются как «потенциально катастрофические». ^[13] и « непредвиденное последствие » усилий правительства США по контролю за распространением криптографических технологий. ^[10]

По состоянию на март 2015 г. ^[update], поставщики находились в процессе выпуска нового программного обеспечения, которое исправило бы этот недостаток. ^[10]^[11] 9 марта 2015 года Apple выпустила обновления безопасности для операционных систем iOS 8 и OS X , исправившие этот недостаток. ^[14]^[15] 10 марта 2015 г. Microsoft выпустила патч, исправляющий эту уязвимость для всех поддерживаемых версий Windows (Server 2003, Vista и более поздних версий). ^[16] Google Chrome 41 и Opera 28 также устранили этот недостаток. ^[3] Mozilla Firefox не уязвим к этому недостатку. ^[17]

Исследовательская работа, объясняющая этот недостаток, была опубликована на 36-м симпозиуме IEEE по безопасности и конфиденциальности и была удостоена награды «Выдающаяся статья». ^[18]

См. также

Ссылки

^ «Темная сторона Microsoft Windows – администрирование…» BeyondTrust . Проверено 5 сентября 2023 г.
^ Б. Бердуш и др. (18 мая 2015 г.). «Беспорядочное состояние Союза: укрощение составных конечных автоматов TLS» (PDF) . Безопасность и конфиденциальность IEEE 2015.
^ Перейти обратно: ^а ^б «Атаки конечных машин на TLS (SMACK TLS)» . smacktls.com .
^ «Сводка уязвимостей CVE-2015-0204» . НИСТ. 20 февраля 2015 г.
^ Томас Фокс-Брюстер (3 марта 2015 г.). «Что за урод? Почему пользователям Android и iPhone нужно обратить внимание на новейшую горячую уязвимость» . Форбс .
^ Стивен Дж. Воан-Николс (3 марта 2015 г.). «Урод: Еще один день, еще одна серьезная дыра в безопасности SSL» . ЗДНет.
^ Даррен Паули (6 марта 2015 г.). «Все версии Microsoft Windows уязвимы к FREAK» . Регистр.
^ «Рекомендации Microsoft по безопасности 3046015: уязвимость в Schannel делает возможным обход функций безопасности» . Майкрософт. 5 марта 2015 г.
^ «О безопасности iOS 8.2» . apple.com . 23 января 2017 г.
^ Перейти обратно: ^а ^б ^с Крейг Тимберг (3 марта 2015 г.). « Уязвимость FREAK подрывает безопасность пользователей Apple и Google, обнаруживают исследователи» . Вашингтон Пост .
^ Перейти обратно: ^а ^б Деннис Фишер (3 марта 2015 г.). «Новая атака FREAK угрожает многим SSL-клиентам» . Угроза.
^ «Серверы FREAK по странам» . 03.03.2015.
^ Дэн Гудин (3 марта 2015 г.). « Уродская» ошибка в устройствах Android и Apple наносит вред криптозащите HTTPS» . Арс Техника.
^ «Об обновлении безопасности 2015-002» . Яблоко. 9 марта 2015 г.
^ «О безопасности iOS 8.2» . Яблоко. 9 марта 2015 г.
^ «Бюллетень по безопасности Microsoft MS15-031 — Важно» . Майкрософт. 10 марта 2015 г.
^ «Microsoft признает, что пользователи Windows уязвимы для атак FREAK» . eweek.com . Архивировано из оригинала 8 апреля 2015 года.
^ «Награда IEEE за выдающуюся работу за беспорядочное состояние Союза: укрощение составных конечных автоматов TLS» . 18 мая 2015 г.

Внешние ссылки

[1] «Темная сторона Microsoft Windows – администрирование…» BeyondTrust . Проверено 5 сентября 2023 г.

[state-of-the-union-2] Б. Бердуш и др. (18 мая 2015 г.). «Беспорядочное состояние Союза: укрощение составных конечных автоматов TLS» (PDF) . Безопасность и конфиденциальность IEEE 2015.

[smacktls.com-3] Перейти обратно: ^а ^б «Атаки конечных машин на TLS (SMACK TLS)» . smacktls.com .

[4] «Сводка уязвимостей CVE-2015-0204» . НИСТ. 20 февраля 2015 г.

[5] Томас Фокс-Брюстер (3 марта 2015 г.). «Что за урод? Почему пользователям Android и iPhone нужно обратить внимание на новейшую горячую уязвимость» . Форбс .

[zdnet20150303-6] Стивен Дж. Воан-Николс (3 марта 2015 г.). «Урод: Еще один день, еще одна серьезная дыра в безопасности SSL» . ЗДНет.

[7] Даррен Паули (6 марта 2015 г.). «Все версии Microsoft Windows уязвимы к FREAK» . Регистр.

[8] «Рекомендации Microsoft по безопасности 3046015: уязвимость в Schannel делает возможным обход функций безопасности» . Майкрософт. 5 марта 2015 г.

[9] «О безопасности iOS 8.2» . apple.com . 23 января 2017 г.

[timberg2015-03-03-10] Перейти обратно: ^а ^б ^с Крейг Тимберг (3 марта 2015 г.). « Уязвимость FREAK подрывает безопасность пользователей Apple и Google, обнаруживают исследователи» . Вашингтон Пост .

[fisher2015-03-03-11] Перейти обратно: ^а ^б Деннис Фишер (3 марта 2015 г.). «Новая атака FREAK угрожает многим SSL-клиентам» . Угроза.

[12] «Серверы FREAK по странам» . 03.03.2015.

[13] Дэн Гудин (3 марта 2015 г.). « Уродская» ошибка в устройствах Android и Apple наносит вред криптозащите HTTPS» . Арс Техника.

[14] «Об обновлении безопасности 2015-002» . Яблоко. 9 марта 2015 г.

[15] «О безопасности iOS 8.2» . Яблоко. 9 марта 2015 г.

[16] «Бюллетень по безопасности Microsoft MS15-031 — Важно» . Майкрософт. 10 марта 2015 г.

[17] «Microsoft признает, что пользователи Windows уязвимы для атак FREAK» . eweek.com . Архивировано из оригинала 8 апреля 2015 года.

[state-of-the-union-award-18] «Награда IEEE за выдающуюся работу за беспорядочное состояние Союза: укрощение составных конечных автоматов TLS» . 18 мая 2015 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]