Всего за несколько часов до того, как
исследователи показали
атаку
, которая декодирует конфиденциальный трафик, защищенный вездесущим
SSL-протоколом, криптографы опубликовали простой способ защиты от этой атаки.

Рекомендации, опубликованные в пятницу службой двухфакторной аутентификации
PhoneFactor, предлагают сайтам использовать RC4-шифр для кодировки SSL-трафика
вместо новых, и, по иронии судьбы, считающихся более защищенными алгоритмов,
таких как AES и DES. Веб-серверы компании Google уже поддерживают RC4, если
верить фирме по безопасности Qualys. Пресс-секретарь компании Google заявляет о
том, что они использовали эти настройки уже в течение "многих лет".

Напротив, платежный сервис PayPal аукциона eBay предпочитает AES, что делает
их сайт, по крайней мере теоретически, уязвимым к BEAST, вредоносному коду,
работа которого должна была быть продемонстрирована в прошлую пятницу на
конференции Ekoparty в Буэнос-Айресе. BEAST (Browser Exploit Against SSL/TLS),
по словам своих создателей, направлен на эксплуатацию уязвимости некоторых
алгоритмов шифрования, которую, как считалось ранее, нельзя было использовать.

"Предлагались различные предупредительные меры для защиты данных, такие как,
например, реорганизация способа передачи данных в зашифрованном потоке", — пишет
Стив Диспенса из PhoneFactor. "Серверы могут защитить себя при помощи модели, не
основанной на CBC (блочном шифре). Одной из таких моделей является RC4, который
широко поддерживается как клиентами, так и серверами".

Настройки Google не дают полной гарантии того, что атаки типа BEAST не
сработают для их сайта, потому что они допускают возможность использования
уязвимых шифров в случае, если браузер не поддерживает RC4. Такое развитие
события маловероятно, но возможно, особенно в случаях с правительственными
организациями, которые обязаны соответствовать правительственным стандартам.

Ранее сообщалось, что
Google уже выпустил версию браузера Chrome
, которая защищена от атак типа
BEAST. Пока остается неясным, насколько серьезный вред может принести подобная
атака, однако очевидно, что Google даже не хотят узнавать это на практике.



Оставить мнение