Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 4 March 2015

2015.03.04 - Nyhetsbrev

Bug funnet i diverse SSL/TLS implementasjoner gjør det mulig å avlytte https-sesjoner vha. man-in-the-middle angrep og bruk av svak krypteringsalgoritme. Svakheten er kjent som FREAK, og rammer i hovedsak Android og iOS/OS X enheter.

FREAK - Ny alvorlig svakhet i mange SSL/TLS implementasjoner.

Forskere har oppdaget en bug i en rekke implementasjoner av SSL og TLS som gjør det mulig for en angriper å avlytte krypterte forbindelser vha. et Man-In-The-Middle (MITM) angrep. Dette er mulig ved å utnytte en bug som finnes i enkelte SSL/TLS-klienter og som går ut på å fremtvinge nedgradering til en gammel, svak krypteringsalgoritme mellom klient og server ved oppsett av en sikker sesjon. Nøklene som da benyttes (såkalte 512-bits RSA export nøkler), kan så knekkes for en lav kostnad ila. få timer vha. skybaserte tjenester. For at angrepet skal fungere må både klient og server støtte bruk av "RSA export-keys". Angrepet rammer i hovedsak Android og iOS/OS X enheter. Sårbare leverandører jobber med å fikse svakheten.
Referanser
http://arstechnica.com/security/2015/03/freak[...]
http://www.washingtonpost.com/blogs/the-switc[...]
http://blog.cryptographyengineering.com/2015/[...]

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.