menu
menu
logo

Обнаружена опасная уязвимость криптографического пакета OpenSSL

В криптографическом пакете OpenSSL и библиотеке Apple's SecureTransport, обеспечивающих шифрование данных в защищенных соединениях HTTPS, обнаружена опасная уязвимость, получившая название FREAK. Она ставит под угрозу безопасность браузера Safari на мобильных устройствах iPhone, iPad и компьютерах Mac, а также большинства браузеров устройств на платформе Android.

Примечательно, что проблема коренится в политических решениях, принятых руководством США в начале 1990-х годов. Тогда американским компаниям было запрещено продавать за рубеж ПО, использующее шифрование с длиной ключа более 512 бит. Впоследствии это решение было отменено, однако слабые 512-битные ключи успели стать чем-то вроде неписанного технологического стандарта и повсеместно использовались разработчиками ПО. Сегодня недостаточно надежными считаются уже и 1024-битные ключи. А взлом 512-битного – вопрос нескольких часов работы квалифицированного хакера.

Атака с использованием уязвимости FREAK в общих чертах выглядит следующим образом. При установлении HTTPS-соединения клиентский компьютер обращается к серверу и указывает поддерживаемые способы шифрования и длину ключей. Именно на этом этапе и включаются в дело хакеры. Используя, например, незащищенное Wi-Fi соединение, они подменяют клиентский запрос, указывая, что компьютер поддерживает только заведомо слабое RSA-шифрование с 512-битным ключом. И если сервер соглашается на его использование, вся зашифрованная персональная информация пользователя, передаваемая в ходе сеанса, становится доступной киберпреступникам.

По данным экспертов, обследовавших порядка 14 миллионов вебсайтов, использующих эту схему, более трети из них – конкретно 36% – соглашаются на применение 512-битных ключей. Забавно, что в их числе оказались, например, сайты Белого Дома, ФБР и АНБ США.

Корпорация Apple уже объявила о том, что обновления ее ПО, устраняющие уязвимость, будут выпущены в течение ближайшей недели. Работают над обновлениями и специалисты Google, хотя сроков их выхода корпорация пока не сообщает. Узнать, уязвим ли ваш браузер для атаки с использованием FREAK и получить более подробную информацию можно на сайте https://freakattack.com/.

Специалисты по кибербезопасности считают нынешнюю ситуацию наглядным примером того, к чему может привести вмешательство политиков в вопросы технологии. Они напоминают, что сегодня руководство ФБР и АНБ США ратует за то, чтобы разработчики ПО оставляли для правоохранителей бэкдоры в своих программах и указывают, что долгосрочные последствия таких требований могут оказаться самыми непредсказуемыми.

RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
В Москве завершил свою работу 15-й Российский форум по управлению Интернетом
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Ресурс DN Journal обновил свой рейтинг
ТЦИ поздравляет с Днем рождения российского Интернета!
ТЦИ поздравляет с Днем рождения российского Интернета!
Сегодня мы отмечаем знаменательную дату — 31 год с момента регистрации первого домена в зоне .RU
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
C 2 по 3 апреля в Москве состоялась XXIII ежегодная конференция Ассоциации документальной электросвязи (АДЭ) на тему «Обеспечение доверия и безопасности при использовании ИКТ». В мероприятии приняли участие представители ТЦИ.

Контакты

г. Москва, улица 8 марта,
дом 1, строение 12 (БЦ Трио, первая башня)

+7 495 730-2969
info@tcinet.ru

Клиентская служба

+7 495 730-2970

vk-img ВКонтакте