比尔·温伯格,高级总监,开源策略,黑鸭子软件
还记得上世纪90年代,当网景浏览器是所有的愤怒和安全套接字层(SSL)加密是一个全新的理念?当时,美国政府希望控制的“武器级”加密出口。它的理论是,国内通信能够从强大,128位加密受益,但“后门”应该是提供给美国情报和执法,当它来到国外通报。因此,弱,“出口级”加密概念诞生了。
快进到2015年和事实证明,这一传统后门,漏洞,我们已经认识到作为“怪胎攻击”仍然存在于从四分之一到三分之一的所有部署的Web服务器上的任何地方。这是从垃圾时尚的时代僵尸安全漏洞如何能回到咬我们一个可悲的例子。现在的问题是:现在做什么,你怎么能保证你的代码是安全的?
这里的内幕:FREAK似乎从OpenSSL的项目影响的代码(如心脏出血漏洞去年做)。看来,不同的浏览器受到不同的影响:Safari浏览器和大多数Android原生浏览器是脆弱的,而Chrome则不是。这些Web客户端都建立在开源的,但利用不同版本的OpenSSL并且采用不同的Web应用程序工具包的(苹果公司说,它正在准备一个补丁)。
该漏洞允许攻击者截取HTTPS脆弱的客户端和服务器,迫使他们使用较弱的出口级加密,然后可以解密或改变之间的连接。许多谷歌和苹果的设备都可能受到影响,嵌入式系统一起。FREAK最初是由研究人员发现,在INRIA,计算机科学的研究组织,总部设在巴黎。
在密歇根大学的计算机科学家们正在维护现场该细节攻击的历史,提供了整治有用的提示。下面是他们推荐一下:
“如果你运行一个Web服务器,你应该禁用任何出口套件支持。然而,而不是简单地排除出口RSA密码套件,我们鼓励管理员禁用支持所有已知不安全的密码(例如,有比其他RSA出口密码套件协议),并启用向前保密。Mozilla有出版了一本指南和SSL配置生成器,这将产生用于公共服务器已知的良好配置。您可以检查您的网站是否是容易使用SSL实验室SSL服务器测试“。
随着更多的Web服务器修复许多厂商的预期,它出现在FREAK攻击的故事还远远没有结束。这是一个有益的提醒,很多的遗留代码,同时在很大程度上从内存中消失了,当它涉及到我们每天都在不断使用的系统是不会忘记的。