ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Уязвимость 13-летней давности в SSL/TLS упрощает хищение конфиденциальных данных

Хищение конфиденциальных данных

С помощью новой атаки "бар-мицва" можно раскрыть SSL/TLS-трафик, не прибегая к атаке "человек посередине".

Популярный протокол шифрования данных SSL/TLS оказался подвержен уязвимости, позволяющей поставить под угрозу конфиденциальную информацию. Специалист компании Imperva Ицхик Мантин (Itsik Mantin) смог раскрыть важные данные с помощью эксплуатации бреши 13-летней давности, связанной с использованием слабозащищенного алгоритма RC4. В настоящее время RC4 используется для защиты более 30% всего SSL/TLS-трафика в интернете.

Результаты исследования были опубликованы в отчете "Атака на SSL с помощью RC4" (Attacking SSL when using RC4). Помимо этого, эксперт лично представил свои находки во время конференции Black Hat Asia, которая прошла в Сингапуре в прошлый четверг, 26 марта.

Нападение "бар-мицва" (Bar-Mitzvah) не требует осуществления атаки "человек посередине" между клиентом и сервером. В ходе атаки эксплуатируется слабый паттерн в ключах RC4, позволяющий раскрыть важные данные, передаваемые по SSL/TLS, в текстовом виде. Соблюдая некоторые условия, хакер может получить логин и пароль жертвы, ее финансовую информацию и прочие конфиденциальные данные.

"Безопасность алгоритма RC4 многие годы вызывала сомнение у экспертов, в особенности его механизмы инициализации, – сообщается в отчете Imperva. – Тем не менее, осознание слабостей в RC4 и отказ от его использования последовал лишь в последние годы". Отметим, что "бар-мицва" стала первой практически осуществимой атакой, требующей лишь пассивного наблюдения за SSL/TLS-соединениями.


Security Lab (01.04.2015 в 11:39) | вверх страницы | к списку новостей

Общие вопросы:

Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2015 ООО "Ди Эй Кей продакшн"