Обнаружена опасная уязвимость криптографического пакета OpenSSL

В криптографическом пакете OpenSSL и библиотеке Apple's SecureTransport, обеспечивающих шифрование данных в защищенных соединениях HTTPS, обнаружена опасная уязвимость, получившая название FREAK. Она ставит под угрозу безопасность браузера Safari на мобильных устройствах iPhone, iPad и компьютерах Mac, а также большинства браузеров устройств на платформе Android.

Примечательно, что проблема коренится в политических решениях, принятых руководством США в начале 1990-х годов. Тогда американским компаниям было запрещено продавать за рубеж ПО, использующее шифрование с длиной ключа более 512 бит. Впоследствии это решение было отменено, однако слабые 512-битные ключи успели стать чем-то вроде неписанного технологического стандарта и повсеместно использовались разработчиками ПО. Сегодня недостаточно надежными считаются уже и 1024-битные ключи. А взлом 512-битного – вопрос нескольких часов работы квалифицированного хакера.

Атака с использованием уязвимости FREAK в общих чертах выглядит следующим образом. При установлении HTTPS-соединения клиентский компьютер обращается к серверу и указывает поддерживаемые способы шифрования и длину ключей. Именно на этом этапе и включаются в дело хакеры. Используя, например, незащищенное Wi-Fi соединение, они подменяют клиентский запрос, указывая, что компьютер поддерживает только заведомо слабое RSA-шифрование с 512-битным ключом. И если сервер соглашается на его использование, вся зашифрованная персональная информация пользователя, передаваемая в ходе сеанса, становится доступной киберпреступникам.

По данным экспертов, обследовавших порядка 14 миллионов вебсайтов, использующих эту схему, более трети из них – конкретно 36% – соглашаются на применение 512-битных ключей. Забавно, что в их числе оказались, например, сайты Белого Дома, ФБР и АНБ США.

Корпорация Apple уже объявила о том, что обновления ее ПО, устраняющие уязвимость, будут выпущены в течение ближайшей недели. Работают над обновлениями и специалисты Google, хотя сроков их выхода корпорация пока не сообщает. Узнать, уязвим ли ваш браузер для атаки с использованием FREAK и получить более подробную информацию можно на сайте https://freakattack.com/.

Специалисты по кибербезопасности считают нынешнюю ситуацию наглядным примером того, к чему может привести вмешательство политиков в вопросы технологии. Они напоминают, что сегодня руководство ФБР и АНБ США ратует за то, чтобы разработчики ПО оставляли для правоохранителей бэкдоры в своих программах и указывают, что долгосрочные последствия таких требований могут оказаться самыми непредсказуемыми.