Συναγερμός στις μεγάλες τεχνολογικές εταιρείες για το «LogJam attack»

Συναγερμός στις μεγάλες τεχνολογικές εταιρείες για το «LogJam attack»

Μεγάλες τεχνολογικές εταιρείες συνεργάζονται προκειμένου να αναπτύξουν ένα διορθωτικό (fix) για την αντιμετώπιση ενός σφάλματος (flaw) που παρατηρήθηκε σε έναν αλγόριθμο κρυπτογράφησης στα προγράμματα περιήγησης στο διαδίκτυο (web-browsers), το οποίο καθιστά εφικτή την παράνομη παρακολούθηση σε υποτιθέμενες ασφαλείς επικοινωνίες.

Ωστόσο, οι αναβαθμίσεις που θα γίνουν διαθέσιμες για τη διόρθωση του σφάλματος ενδέχεται να προκαλέσουν διακοπή στη λειτουργία πολλών ιστοσελίδων.

Το «LogJam attack», όπως έχουν ονομάσει το σφάλμα οι ειδικοί, ανακαλύφθηκε από ερευνητές της Microsoft, οι οποίοι εκτιμούν ότι περίπου το 8% επί του συνόλου των 1 εκατομμυρίων πιο καλά προστατευμένων ιστοσελίδων είναι ευάλωτες σε πιθανές επιθέσεις εξαιτίας του σφάλματος αυτού.

Επίσης ορισμένες υπηρεσίες ηλεκτρονικού ταχυδρομείου που χρησιμοποιούν των πρωτόκολλο κρυπτογράφησης Transport Layer Security (TLS) διατρέχουν κίνδυνο να δεχτούν επίθεση έως ότου γίνει ενημέρωση των συστημάτων τους.

Όπως αναφέρει σε άρθρο του το βρετανικό ειδησεογραφικό δίκτυο BBC, το LogJam αποτελεί την «κληρονομιά» που άφησαν οι ΗΠΑ τη δεκαετία του '90 με τους περιορισμούς που είχαν επιβάλει στις εξαγωγές εργαλείων κρυπτογράφησης. Οι περιορισμοί αυτοί υποβάθμιζαν την πολυπλοκότητα των μυστικών κωδικών κρυπτογράφησης που θα μπορούσαν να παραχθούν.

Μετέπειτα, οι περιορισμοί αυτοί έγιναν πιο ευέλικτοι, ωστόσο οι ερευνητές υποστηρίζουν ότι μία ακούσια συνέπεια αυτού είναι ότι ο αλγόριθμος κρυπτογραφικών συστημάτων Diffie-Hellman Key Exchange (DHKE) είναι ευάλωτος σε «man-in-the-middle» επιθέσεις (κοινή παραβίαση ασφαλείας). Ο αλγόριθμος DHKE ήταν μία από τις πρώτες τεχνικές που είχαν αναπτυχθεί ώστε να επιτρέπουν σε δύο ή περισσότερα μέρη να δημιουργούν και να μοιράζονται κλειδιά κρυπτογράφησης.

Αυτό που ανακάλυψαν οι ερευνητές ήταν ότι παρακάμπτοντας τις επικοινωνίες, οι επιτιθέμενοι έχουν τη δυνατότητα να χρησιμοποιήσουν ένα κλειδί κρυπτογράφησης των 512-bit αντί για ένα πιο περίπλοκο.

Παρόλα αυτά, το διορθωτικό στο οποίο συμφώνησαν να αναπτύξουν οι εταιρείες των προγραμμάτων περιήγησης στο Internet θα μπορεί να μπλοκάρει τα κλειδιά κρυπτογράφησης των 512-bit ή μικρότερου μήκους.

«Η λύση είναι σχετικά απλή, δυστυχώς όμως κάποιοι παλαιότεροι web servers ίσως να μην είναι σε θέση να ξεκινήσουν μια ασφαλή επικοινωνία με τους αναβαθμισμένους web browsers, καθώς υποστηρίζουν μόνα τα παλαιότερα, ασθενέστερα και πιο σύντομα μήκη κλειδιών», δήλωσε ο καθηγητής 'Αλαν Γουντγουόρντ του Πανεπιστημίου του Σάρρεϊ της Βρετανίας. «Οι browsers θα μπορούσαν να αναβαθμιστούν εύκολα όπως επίσης εύκολα θα μπορούσαν να αναδιαμορφωθούν και οι διακομιστές και πραγματικά αυτό δεν είναι κάτι κακό να συμβεί εάν λάβετε υπόψη ότι σε ένα διαφορετικό σενάριο "η ασφαλής επικοινωνία" θα μπορούσε ενδεχομένως να παρακολουθείται παράνομα από κάποιον χάκερ», πρόσθεσε ο ίδιος.

Η εταιρεία Mozilla -που έχει αναπτύξει το πρόγραμμα περιήγησης Firefox- ανακοίνωσε ότι το νέο της λογισμικό που θα διορθώνει το σφάλμα θα γίνει διαθέσιμο «μέσα στις επόμενες ημέρες».

Ένας ειδικός σε θέματα ασφάλειας στο διαδίκτυο δήλωσε ότι οι χρήστες του Internet δεν θα πρέπει να ανησυχούν για το ενδεχόμενο να πέσουν θύματα μιας τέτοιου είδους επίθεσης, ωστόσο τόνισε ότι «ανοιχτά τα μάτια τους» θα πρέπει να έχουν οι δημόσιες υπηρεσίες και οργανισμοί.

Εγγραφείτε στο newsletter μας

Ενημερωθείτε πρώτοι για τα τελευταία νέα, αποκλειστικά ρεπορταζ και ειδήσεις απο όλο τον κόσμο