Эксперты предлагают защиту от вторжения BEAST

Рекомендуем почитать:

Xakep #304. IP-камеры на пентестах

Всего за несколько часов до того, как
исследователи показали
атаку, которая декодирует конфиденциальный трафик, защищенный вездесущим
SSL-протоколом, криптографы опубликовали простой способ защиты от этой атаки.

Рекомендации, опубликованные в пятницу службой двухфакторной аутентификации
PhoneFactor, предлагают сайтам использовать RC4-шифр для кодировки SSL-трафика
вместо новых, и, по иронии судьбы, считающихся более защищенными алгоритмов,
таких как AES и DES. Веб-серверы компании Google уже поддерживают RC4, если
верить фирме по безопасности Qualys. Пресс-секретарь компании Google заявляет о
том, что они использовали эти настройки уже в течение "многих лет".

Напротив, платежный сервис PayPal аукциона eBay предпочитает AES, что делает
их сайт, по крайней мере теоретически, уязвимым к BEAST, вредоносному коду,
работа которого должна была быть продемонстрирована в прошлую пятницу на
конференции Ekoparty в Буэнос-Айресе. BEAST (Browser Exploit Against SSL/TLS),
по словам своих создателей, направлен на эксплуатацию уязвимости некоторых
алгоритмов шифрования, которую, как считалось ранее, нельзя было использовать.

"Предлагались различные предупредительные меры для защиты данных, такие как,
например, реорганизация способа передачи данных в зашифрованном потоке", - пишет
Стив Диспенса из PhoneFactor. "Серверы могут защитить себя при помощи модели, не
основанной на CBC (блочном шифре). Одной из таких моделей является RC4, который
широко поддерживается как клиентами, так и серверами".

Настройки Google не дают полной гарантии того, что атаки типа BEAST не
сработают для их сайта, потому что они допускают возможность использования
уязвимых шифров в случае, если браузер не поддерживает RC4. Такое развитие
события маловероятно, но возможно, особенно в случаях с правительственными
организациями, которые обязаны соответствовать правительственным стандартам.

Ранее сообщалось, что
Google уже выпустил версию браузера Chrome, которая защищена от атак типа
BEAST. Пока остается неясным, насколько серьезный вред может принести подобная
атака, однако очевидно, что Google даже не хотят узнавать это на практике.

Эксперты предлагают защиту от вторжения BEAST

Xakep #304. IP-камеры на пентестах

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Карта мира генеративного ИИ. Выбираем модель и интерфейс, разбираемся с терминами

Базовые атаки на AD. Разбираем Kerberoasting, AS-REP Roasting и LLMNR Poisoning

HTB Blurry. Атакуем сервер через уязвимость в ClearML

Отчет с OFFZONE 2024. Как я слушал доклады, дегустировал пиво и чудом не потерялся

Трюки

Не тапай хомяка! Как я автоматизировал игру Hamster Kombat

Кастомный Arch. Создаем образы Arch Linux для десктопа и Raspberry Pi

Диета для Arch Linux. Запускаем Arch на компьютерах с малым объемом памяти

Карманный Arch. Делаем флешку с живым образом Arch Linux

Последние новости

Северокорейские хакеры устраиваются в американские компании и вымогают деньги у работодателей

«Рога и копыта» маскируют малварь под запросы от потенциальных клиентов

В Бразилии задержали хакера USDoD, взломавшего ФБР, Airbus и не только

Международная академия связи выступила с предложением запретить SpeedTest в РФ

Баг в Kubernetes Image Builder позволял получить root-доступ через SSH