- Ang mga Nahanap
- Ano ang Kailangang Sabihin ng mga Eksperto?
- Anong pwede mong gawin?
Kung naisip mo na ang iyong data ay ligtas pagkatapos mag-isip muli. Dahil ayon sa mga pag-aaral sa akademiko, natagpuan na dahil sa kahinaan ng TLS 1.3, ang mga hacker ay maaari na ngayong mag-tap sa isang ligtas na channel at maaaring mag-ani ng data para sa masamang hangarin.
Ang papel na pananaliksik ay nai-publish ng Tel Aviv University, University of Adelaide at University of Michigan pati na rin ang Weizmann Institute. Bukod dito, ang NCC Group at Data61 ay nagtapos din ng mga katulad na natuklasan.
Ang mga Nahanap
Ang pag-atake ay binagong bersyon ng aktwal na atake ng orlehe ng Bleichenbacher na sa nakaraan ay nagawang magbasa ng isang mensahe na naka-encrypt na RSA gamit ang Public-Key Cryptography.
Ang bagong alon na ito, gayunpaman, ay naghahanap upang gumana laban sa TLS 1.3 na siyang pinakabagong bersyon sa mga protocol ng TLS. Naniniwala ang mga awtoridad na ito ay ligtas ngunit tila hindi ito at nakababahala!
Dahil hindi suportado ng TLS 1.3 ang RSA key exchange, naisip ng mga mananaliksik na pinakamahusay na magpatuloy sa pagbagsak na bersyon ie TLS 1.2 para sa layunin na masuri ang pag-atake.
Bilang isang resulta pagbaba ng mga pagpapagaan tulad ng isang server-side at dalawang-kliyente na bahagi na pumapatol sa pag-atake ng pagbagsak. Kung kaya't nagtatapos, na kung mayroong mas malaking mga pindutan ng RSA, ang mga pag-atake na ito ay maaaring mapigilan at pati na rin, ang pag-timeout ng handshake ay maiikli.
Siyam na iba't ibang pagpapatupad ng TLS ang napag-aralan; Ang OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL, at GnuTLS na kung saan ang BearSSL at ang BoringSSL ng Google ay ligtas. Ang lahat ng iba pa ay nanatiling mahina.
Ano ang Kailangang Sabihin ng mga Eksperto?
Hanggang sa ang bilang ng mga pag-atake ay nababahala, Broderick Perelli-Harris, Sr. Director sa Venafi ay naniniwala na sila ay nag-pop up mula noong 1988 sa ilalim ng mga pagkakaiba-iba ng Bleichenbacher. Samakatuwid, hindi nakakagulat na ang TLS 1.3 ay mahina rin.
Si Jake Moore, ang espesyalista sa cyber-security sa ESET UK ay sa palagay na ang pag-atake ng kalikasan ng cryptographic ay hindi una at hindi magiging huling ng uri nito. Nasa opinyon din niya na ito ay katulad ng laro ng Whac-A-Mole - sa tuwing nalalapat ang isang security fix, isa pang nag-pop up.
Anong pwede mong gawin?
Lahat sa lahat, ang kapintasan ay nasa orihinal na pampaganda ng protocol ng encina ng TLS. Ngunit sa ngayon dahil sa mismong disenyo ng patch ng protocol ay ang tanging paraan pasulong.
Ano ang maaari mong gawin upang maprotektahan ang iyong sarili sa pansamantala? Ang pagpapatunay ng two-factor na pagpapatotoo (2FA), panatilihin ang iyong software na na-update tulad ng anti-malware / antivirus, pagtatakda ng mas malakas na mga password, at isang disenteng serbisyo ng VPN tulad ng Ivacy.
