Eilė lietuviškų interneto svetainių - džiaugsmas programišiams

Galybėje interneto svetainių naudojamas šifravimas leidžia išnaudoti naujai aptiktą „FREAK“ saugumo spragą. Tarp šių svetainių nemažai ir populiarių lietuviškų, tame tarpe tų, kuriose vykdomos ir piniginiai atsiskaitymai. Apple atstovas spaudai pranešė, kad Apple išleis iOS ir OS X Safari „Freak“ saugumo spragos ištaisymą.

2015 metų kovo 3 dieną kibernetinės erdvės saugumo ekspertai atrado naują SSL/TLS saugumo spragą, kuriai jie davė „FREAK“ pavadinimą. Šis pažeidžiamumas leidžia piktavališkai nusiteikusiems piliečiams perimti HTTPS prisijungimą tarp pažeidžiamų klientų ir serverių bei priversti juos naudoti iššifruojamą „export-grade“ šifravimą.

Pradžioje buvo manyta, kad tik Android ir Apple Safari yra „jautrios“ dešimtmečio senumo Freak saugumo spragai, tačiau pasirodo, kad ir visos palaikomos Windows versijos taip pat yra pažeidžiamos.

Saugumo ekspertai išvardina ir apie 10 tūkstančių svetainių, kurios naudoja nesaugų RSA. tarp tokių svetainių yra ir 169 lietuviškos, kurių tarpe: delfi.lt, cv.lt, nordea.lt, teo.lt, zebra.lt, vilnius.lt, ryanair-skrydziai.lt, vilniaus-energija.lt, credit24.lt, urm.lt, cosmopolitan.lt, moteris.lt, panele.lt, obuolys.lt, lukoil.lt, opera.lt ir visa eilė kitų svetainių tame tarpe tų, kuriose vykdomos piniginės tranzakcijos. Pilną top 10 tūkstančių svetainių sąrašą rasite čia, o patikrinti ar jūsų svetainė pažeidžiama galite šio įrankio pagalba.

Kaip aš suprantu šią spragą: iki 1999 JAV vyriausybė draudė kompanijoms išsiųsti iš šalies produktus naudojančius stiprius šifravimo algoritmus ir šios naudojo „export-grade“ (silpną ir nulaužiamą) šifravimą, kurį naudojančius produktus išsiųsti iš šalies buvo galima. Po 1999 šis draudimas buvo panaikintas, tačiau kai kurios kompanijos savo produktuose paliko „export-grade“ šifravimo režimą aktyvų (jį aktyvų galima aptikti eilėje Apple ir Google įrenginių) kaip ir kituose neužlopytą OpenSSL naudojančiuose įrenginiuose. Šis nenaudojamas režimas buvo užmirštas, iki dabar…

Išmaniai paleidę „man-in-the-middle“ ataką, saugumo ekspertai sugebėjo priversti aukų prisijungimą naudoti dabar labai greitai ir smagiai lūžtantį šifravimo raktą. Privertęs vartotojo prisijungimą naudoti nesaugų šifravimą (vartotojas apie tai net neįtaria) hakeris per kelias valandas gali iššifruoti visą slaptažodžių, žinučių ir kitą vartotojo informaciją.

Trumpai tariant: hakeris gali priversti vartotojo įrenginį (pavyzdžiui Android, Windows OS ar Apple Safari) naudoti nesaugų šifravimo metodą ir tada visus gautus duomenis iššifruoti.

Reuters praneša, kad Apple atstovas spaudai informavo apie tai, kad sekančią savaitę Apple išleis atnaujinimą, kuris šią saugumo spragą ištaisys tiek iOS, tiek ir OS X Safari naršyklėse.

Greičiausiai tai bus specialus atnaujinimas ir šios klaidos pasirodymas nepagreitins naujų iOS ar OS X versijų pasirodymo.