FREAK isimli güvenlik açığını güvenlik firmalarına sorduk

Merlinin Kazanı 13.03.2015 - 14:51
ESET, güvenlik açığı hakkında detaylı bilgi sundu.
Geçtiğimiz hafta, Andoid ve iOS kullanıcılarının sistemden kaynaklı bir güvenlik açığı nedeniyle her an hack saldırılarına karşı savunmasız durumda kalabileceğine dair bir haber yapmıştık.

Konu hakkında yetkili bir ağızdan cevap almak adına ESET Türkiye Teknik Müdürü Erkan Tuğral ile görüştük. O da en samimi şekilde durumu bize açıkladı.

FREAK isimli güvenlik açığını güvenlik firmalarına sorduk
SSL/TLS Export Açığı
 
Biliyorsunuz SSL ve TLS, internet gibi açık bir ağ üzerinden her türlü güvenlik gerektiren bilgiyi özel şifreleme teknikleriyle aktarmaya yarayan birer protokol. Günümüzde bu protokollerin güvenliği mevcut teknolojilerle kırılması çok mümkün olmayan 1024 bit ve 2048 bit güçlü şifreleme algoritmaları içeriyor.
 
Ancak 90'lı yıllarda ABD nin SSL/TLS üzerinde uyguladığı ülke dışına çıkarma (export) sınırlamaları nedeniyle , ABD içinde çalışırken 1024 bit şifreleme kullanılabiliyorken , ABD dışı ülkeler için izin verilen en yüksek şifreleme 512 bit idi. Bu nedenle sunucular hem 512 bit hem de 1024 bit istemcilerin bağlantılarına izin vermek üzere Export Suite denilen ek özellikler içeriyordu. Artık sınırlama kalkmış olmasına rağmen bazı tasarım kısıtlamaları nedeniyle halen güncel SSL/TLS uygulamalarında mevcut durumda.
 
Bu ön bilgiyi verdikten sonra gelelim açığa; saldırganlar yukarıda anlatılan Export suite özelliklerini kullanarak, hedef sistem 1024/2048 bit şifreleme algoritmasını desteklemesine rağmen sunucuyla, açık içeren istemci arasına girip (Man in the middle saldırısı) trafiği 512 bite indirebiliyorlar. Ve geçen trafiği kaydedip, günümüz bulut bilişim olanaklarıyla kabaca 100 USD gibi bir harcamayla şifresini çözebiliyorlar.
 
Şu anda açığı taşıyan istemciler yaygın kullanılan Android varsayılan tarayıcısı ve Apple'ın Safari tarayıcısı olarak görünüyor.
 
Apple, açıkla ilgili yamanın hazır olduğunu vekısa süre içinde yayınlayacağını bildirmiş. Google açığı yamayıp ilgili yönergeleri telefon üreticilerine gönderdiğini açıklamış.(Buna göre ilgili güncellemeleri telefon üreticileri çıkaracak).
 
Web siteleri tarafında ise artık kullanılmayan Export sertifikası özelliğinin kapatılmasını şiddetle öneriyoruz.
Yorumlar
MK Okuru
MK Okuru 25.11.2024 23:39
Kalan Karakter: 300 Gönder
FREAK isimli güvenlik açığını güvenlik firmalarına sorduk
İlginizi Çekebilir