గుప్తీకరించిన ఛానెల్‌లో కూడా హ్యాకర్లు ఇప్పుడు వినేవారు

Anonim
విషయ సూచిక:
  • అన్వేషణలు
  • నిపుణులు ఏమి చెప్పాలి?
  • నీవు ఏమి చేయగలవు?

మీ డేటా సురక్షితం అని మీరు అనుకుంటే మళ్ళీ ఆలోచించండి. అకాడెమిక్ అధ్యయనాల ప్రకారం, TLS 1.3 దుర్బలత్వం కారణంగా, హ్యాకర్లు ఇప్పుడు సురక్షితమైన ఛానెల్‌లోకి నొక్కవచ్చు మరియు హానికరమైన ఉద్దేశం కోసం డేటాను సేకరిస్తారు.

ఈ పరిశోధనా పత్రాన్ని టెల్ అవీవ్ విశ్వవిద్యాలయం, అడిలైడ్ విశ్వవిద్యాలయం మరియు మిచిగాన్ విశ్వవిద్యాలయం అలాగే వైజ్మాన్ ఇన్స్టిట్యూట్ ప్రచురించాయి. అంతేకాకుండా, ఎన్‌సిసి గ్రూప్ మరియు డేటా 61 కూడా ఇలాంటి ఫలితాలను తేల్చాయి.

అన్వేషణలు

ఈ దాడి వాస్తవ బ్లీచెన్‌బాచర్ ఒరాకిల్ దాడి యొక్క సవరించిన సంస్కరణ, ఇది గతంలో పబ్లిక్-కీ క్రిప్టోగ్రఫీని ఉపయోగించి RSA గుప్తీకరించిన సందేశాన్ని డీకోడ్ చేయగలిగింది.

అయితే, ఈ కొత్త వేవ్ TLS 1.3 కు వ్యతిరేకంగా పనిచేయడానికి ప్రయత్నిస్తుంది, ఇది TLS ప్రోటోకాల్‌లలో తాజా వెర్షన్. అధికారులు ఇది సురక్షితమని నమ్ముతారు కాని స్పష్టంగా అది కాదు మరియు అది భయంకరమైనది!

TLS 1.3 RSA కీ మార్పిడికి మద్దతు ఇవ్వదు కాబట్టి, దాడిని అంచనా వేసే ప్రయోజనం కోసం డౌన్గ్రేడ్ వెర్షన్ అంటే TLS 1.2 తో కొనసాగడం ఉత్తమం అని పరిశోధకులు భావించారు.

ఫలితంగా డౌన్‌గ్రేడ్ దాడిని దాటవేసే ఒక సర్వర్-సైడ్ మరియు రెండు-క్లయింట్ సైడ్ వంటి తగ్గించడం తగ్గించండి. ఈ విధంగా, పెద్ద RSA కీలు ఉంటే, ఈ దాడులను నివారించవచ్చు మరియు హ్యాండ్‌షేక్ సమయం ముగిసింది.

తొమ్మిది వేర్వేరు TLS అమలులు అధ్యయనం చేయబడ్డాయి; OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL, మరియు GnuTLS వీటిలో బేర్‌ఎస్‌ఎస్‌ఎల్ మరియు గూగుల్ యొక్క బోరింగ్‌ఎస్‌ఎస్‌ఎల్ సురక్షితంగా ఉన్నాయి. మిగతా వారందరూ దుర్బలంగా ఉన్నారు.

నిపుణులు ఏమి చెప్పాలి?

దాడుల సంఖ్యకు సంబంధించినంతవరకు, వెనాఫీలోని సీనియర్ డైరెక్టర్ బ్రోడెరిక్ పెరెల్లి-హారిస్, బ్లీచెన్‌బాచర్ యొక్క వైవిధ్యాల ప్రకారం వారు 1988 నుండి పుంజుకుంటున్నారని అభిప్రాయపడ్డారు. అందువల్ల, TLS 1.3 కూడా హాని కలిగిస్తుండటం ఆశ్చర్యం కలిగించదు.

క్రిప్టోగ్రాఫిక్ స్వభావం యొక్క దాడి మొదటిది కాదని మరియు ఈ రకమైన చివరిది కాదని ESET UK లోని సైబర్-సెక్యూరిటీ స్పెషలిస్ట్ జేక్ మూర్ అభిప్రాయపడ్డారు. ఇది వాక్-ఎ-మోల్ ఆటతో సమానమని ఆయన అభిప్రాయం - భద్రతా పరిష్కారాన్ని వర్తింపజేసిన ప్రతిసారీ, మరొకటి బయటకు వస్తుంది.

నీవు ఏమి చేయగలవు?

మొత్తం మీద, లోపం TLS ఎన్క్రిప్షన్ ప్రోటోకాల్ యొక్క అసలు అలంకరణలో ఉంది. కానీ ప్రస్తుతానికి ప్రోటోకాల్ పాచింగ్ యొక్క చాలా రూపకల్పన కారణంగా ముందుకు సాగవచ్చు.

ఈ సమయంలో మిమ్మల్ని మీరు రక్షించుకోవడానికి మీరు ఏమి చేయవచ్చు? రెండు-కారకాల ప్రామాణీకరణ (2 ఎఫ్ఎ) ను ఉపయోగించుకోండి, మీ సాఫ్ట్‌వేర్‌ను యాంటీ మాల్వేర్ / యాంటీవైరస్, తాజా పాస్‌వర్డ్‌లను సెట్ చేయడం మరియు ఐవసీ వంటి మంచి VPN సేవ వంటి వాటిని నవీకరించండి.

ఎడిటర్స్ ఛాయిస్