Bill Weinberg, Senior Director, Open Source strategi, Husk på 1990-tallet, da Netscape var alle raseri og Secure Socket Layer (SSL) var en helt ny idé? Tilbake da, ville den amerikanske regjeringen til å kontrollere eksport av "våpen grade" kryptering. Sin teori var at innenlandske kommunikasjon kan ha nytte av sterkere, 128-bit kryptering, men "bakdører" skal være tilgjengelig til US etterretning og politi når det kom til utenlandske kommunikasjon. Dermed begrepet svakere, "eksport grade" kryptering ble født. Spol frem til 2015, og det viser seg at denne arven bakdør, en sårbarhet som vi har lært å kjenne som "The FREAK Attack," eksisterer fortsatt i alt fra en kvart til en tredjedel av alle utplassert webservere. Det er et trist eksempel på hvordan zombie sikkerhetshull fra æra av grunge mote kan gå tilbake til å bite oss. Spørsmålet er: hva du skal gjøre nå, og hvordan kan du sikre koden din er trygg Her er Lowdown: FREAK synes å påvirke koden fra OpenSSL-prosjektet (som Heartbleed gjorde i fjor). Det ser ut til at forskjellige nettlesere påvirkes forskjellig: Safari og de fleste Android-innfødte nettlesere er sårbare, men Chrome er det ikke. Disse web kunder bygger på åpen kildekode, men benytter seg av forskjellige versjoner av OpenSSL og ansette ulike web-applikasjon verktøysett (Apple sier det forbereder en patch). Sikkerhetsproblemet gjør at hackere kan snappe HTTPS sammenhenger mellom sårbare klienter og servere og tvinge dem til å bruke den svakere eksport-kryptering, som deretter kan dekrypteres eller endret. Mange Google og Apple-enheter er potensielt berørt, sammen med innebygde systemer. FREAK ble opprinnelig oppdaget av forskere ved INRIA, en datavitenskap forskningsorganisasjon med hovedkontor i Paris. Data forskere ved University of Michigan opprettholder et nettsted som beskriver historien til angrep og gir nyttige tips om utbedring. Her er hva de anbefaler: "Hvis du kjører en web server, bør du deaktivere støtten for eventuelle eksport suiter Men i stedet for å bare unntatt RSA eksport Chiffreringssamlingene, oppfordrer vi administratorer å deaktivere støtte for alle kjente usikre koder. (f.eks, det er eksport Chiffreringssamlinger andre enn RSA protokoller) og aktivere frem hemmelighold. Mozilla har publisert en guide og SSL Configuration Generator, som vil generere kjent gode konfigurasjoner for vanlige servere. Du kan sjekke om nettstedet ditt er sårbar ved hjelp av SSL-Labs 'SSL Server Test. " Med flere web server fikser forventet fra en rekke leverandører, ser det ut til FREAK angrep historien er langt fra over. Det er en nyttig påminnelse om at mye av arven kode, mens stort sett forsvunnet fra minnet, er ikke glemt når det kommer til de systemene vi fortsetter å bruke hver dag. Anmeldelser
Black Duck Software