Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Drošības nedēļa 3 2017: SHA-1 norieta turpinājums, Whatsapp kļūda vai tomēr funkcija, neizlabotās maršrutētāju ievainojamības

Drošības nedēļa 3 2017: SHA-1 norieta turpinājums, Whatsapp kļūda vai tomēr funkcija, neizlabotās maršrutētāju ievainojamības

SHA-1 ir pienācis gals. Bet varbūt ne? Par spīti neapšaubāmi nopietnajai problēmai to ir grūti izmantot masveida uzbrukumiem. Šīs problēmas iemesls ir tas, ka skaitļošanas resursi kļuvuši lētāki ātrāk, nekā agrāk tika prognozēts. Kriptogrāfijas eksperts Brūss Šneiers 2012. gadā paredzēja, ka pēc trim gadiem jaucējkolīzijas radīšanai nosacītā serverī vajadzēs 11 gadu ilgus aprēķinus. Tagad trīs gadi ir pagājuši un ir skaidrs, ka patiesībā (sakarā ar paralēlās skaitļošanas tehnoloģiju attīstību un jauniem pētījumiem kriptogrāfijas jomā) vajadzīgais laikposms ir daudz mazāks — tikai 49 dienas.

Tā kā jaukšanu ar SHA-1 palīdzību izmanto svarīgās operācijās, piemēram, veidojot aizsargātu savienojumu ar tīmekļa vietnēm,  programmatūras izstrādātāji jau savlaicīgi sākuši stāstīt par saviem plāniem, kā pārtraukt lietot tādu algoritmu, kurš negarantē pietiekamu drošību. Sākot ar 24. janvāri (Firefox un citiem interneta pārlūkiem — mazliet vēlāk), lietotājiem, kuri apmeklēs vietnes, kas neatbalsta daudz drošāko algoritmu SHA-2 (parasti — SHA-256 modifikāciju), tiks rādīti dažādi draudīgi brīdinājumi.

Saskaņā ar Facebook statistikas datiem 2015. gada nogalē 7% šīs vietnes auditorijas, galvenokārt jaunattīstības valstu iedzīvotāji, joprojām izmantoja pārlūkus vai lietojumprogrammas, kuras neatbalstīja SHA-2. Jaunāki pētījumi liecina, ka nedrošo SHA-1 izmanto 35% vietņu IPv4 adrešu telpā, bet starp šīm vietnēm nav gandrīz nevienas ļoti populāras. Vislielākās problēmas ir radušās ne jau vietnēm un lietotājiem, bet gan maksāšanas sistēmām un mobilo lietotņu izstrādātājiem. Ir jāsecina, ka par spīti agrajai problēmas konstatēšanai, publiskai risinājumu apspriešanai, kopīgiem pūliņiem utt. 2017. gadā SHA-1 kļūs par nišas problēmu, kura vēl ilgi netiks pilnībā atrisināta. Tātad vienmēr būs risks, ka iespējamas ļaunprātīgas manipulācijas ar kādu serveri, kurš aizmirsts vai kura programmatūru nav bijis iespējams atjaunināt. Nedrošu algoritmu nevar tā vienkārši iznīdēt.

Atrasta Whatsapp ziņu šifrēšanas sistēmas ievainojamība. Bet varbūt nekas nav atrasts.

Piektdien, 13. datumā, avīzē Guardian bija publicēts raksts par to, ka kāda Whatsapp ievainojamība ļauj programmatūras izstrādātājiem lasīt lietotāju saraksti. Par šo ievainojamību tika rakstīts, ka protokols Signal, kas ir Whatsapp šifrēšanas pamatā, ģenerē unikālas atslēgas sakariem starp diviem lietotājiem. Kad lietotājs nav tiešsaistē, Whatsapp var nomainīt šīs atslēgas, neinformējot par to lietotājus, ja vien iestatījumos nav ieslēgta attiecīga funkcija.

Ja jau atslēgas tiek mainītas, tad tas kādam ir vajadzīgs. Un iemesls droši vien ir lietotāju izspiegošana, vai ne? Izstrādātājs Morlijs Marinspaiks no Open Whisper Systems, kas nodrošina protokolu Signal, mēģināja apstrīdēt plašsaziņas līdzekļu „dzelžaino loģiku” šajā jautājumā. Viņš paskaidroja, ka šifra atslēga tiek nomainīta tad, ja serveris nevar piegādāt paziņojumu adresātam. Piemēram, ja ir nomainīts viedtālrunis, vai pārinstalēta lietotne. Tādā gadījumā serverī tiek ģenerēta jauna atslēga, lai paziņojumu varētu piegādāt, līdzko lietotājs atgriezīsies tīklā.

Whatsapp brīdinājumus var ieslēgt pats lietotājs.

Whatsapp brīdinājumus var ieslēgt pats lietotājs.

Vārdu sakot, tā nav kļūda, bet funkcija. Bet kāpēc tad lietotāju neinformē par šifra atslēgas nomainīšanu? Tāpēc, ka Whatsapp izstrādātāji nolēmuši: nav vērts lieku reizi baidīt lietotājus, kuri tāpat neko nejēdz no šifrēšanas. Tomēr Signal autori uzskata, ka ir gan vērts, turklāt šo Whatsapp iestatījumu var ieslēgt pats lietotājs. Tad sāk darboties paranojas režīms: ja pamanāt, ka atslēgas ir nomainītas, tad varat tās nomainīt vēlreiz, lai jums būtu nodrošināts maksimāls privātums.

Kāda Taizemes interneta pakalpojumu sniedzēja maršrutētājiem jau sešus mēnešus ir ievainojamība

Tradicionāla ziņa no „neīstā IoT” pasaules. Taizemes interneta pakalpojumu sniedzējs TrueOnline izmanto maršrutētājus ar ievainojamību, kurus izgatavo ne tikai maz zināms uzņēmums Billion, bet arī ļoti labi pazīstamais Zyxel. Pētnieki ir atraduši daudz iespēju piekļūt šiem maršrutētājiem, izmantojot tīmekļa saskarni (arī no ārpuses). Šķiet, ka runa ir par speciālās aparātprogrammatūras ievainojamībām, tāpēc ražotāji nav vainīgi, lai gan visādi var būt (Zyxel paziņojis, ka šos maršrutētājus jau sen vairs neražo)

Ievainojamības atrastas pērnā gada jūlijā, bet ziņa par tām publicēta tikai tagad, jo attiecīgais interneta pakalpojumu sniedzējs vienkārši ignorē pētnieku paziņojumus. Vārdu sakot, parasta ziņa, kas kļūst interesanta tikai kontekstā. Pērnā gada beigās Kaspersky Lab eksperti atrada Android sistēmas Trojas zirgu Switcher, kurš nomaina DNS ierakstu maršrutētājos, un tas ir pirmais solis uz visa mājas datortīkla sagrābšanu.

Teiksiet – kāda gan mums darīšana gar kaut kādiem maršrutētājiem Taizemē? Gandrīz nekādas, ja vien tas nepievērstu vēlreiz uzmanību plaši izplatītai problēmai. Latvijā ir konstēts liels daudzums nepareizi konfigurētu ierīču, kas visbiežāk ir mājas maršrutētāji. Potenciālajiem uzbrucējiem tie dod ērtu iespēju piekļūt tīklā esošajiem datoriem un citām ierīcēm.

Izmantoti Kaspersky Lab materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

+ 28 = 33

Vislabākā aizsardzība, lieliskas cenas!
Uz augšu