В общей сетевой безопасности обнаружена новая уязвимость

OpenSSL обеспечивает защиту с помощью шифрования для ряда приложений на большинстве типов компьютеров и аналогичен пакетам шифрования, используемым веб-браузерами Google Chrome (BoringSSL) и Firefox (служба сетевой безопасности Mozilla (NSS)).Доктор Юваль Яром, научный сотрудник Школы компьютерных наук Университета Аделаиды, говорит, что он и его коллеги Даниэль Генкин (Тель-Авивский университет) и доктор Надя Хенингер (Университет Пенсильвании) обнаружили, что OpenSSL уязвим для атак, известных как "Атака по побочному каналу".Атака по побочному каналу позволяет хакеру получить важную информацию о программном обеспечении, исследуя физическую работу компьютерной системы, например, мельчайшие изменения в энергопотреблении или наблюдая изменения во времени при использовании другого программного обеспечения.

Доктор Яром обнаружил, что можно «подслушивать» работу программного обеспечения для шифрования OpenSSL. В случае команды они измерили высокочувствительные изменения времени компьютера — до менее одной наносекунды (одной миллиардной секунды).

Из этих измерений они восстановили закрытый ключ, который OpenSSL использует для идентификации пользователя или компьютера.«В чужих руках закрытый ключ может быть использован, чтобы« взломать »шифрование и выдать себя за пользователя», — говорит д-р Яром.

«На данном этапе мы обнаружили эту уязвимость только в компьютерах с процессорами Intel Sandy Bridge. Компьютеры с другими процессорами Intel не могут быть затронуты таким же образом».Доктор Яром говорит, что вероятность того, что кто-то взломает компьютер с помощью этого метода, невелика: «Кажется, мы первые, кто это сделал, и в контролируемых условиях."Серверы, особенно облачные, являются более вероятной целью для этой атаки по побочному каналу.

Маловероятно, что кто-то воспользуется им против домашнего компьютера. На домашних компьютерах так много уязвимостей, которые легче использовать, что маловероятно, что кто-то станет попробуйте сделать это в реальном мире — но не невозможно ».Доктор Яром говорит, что споры об этой форме атаки на OpenSSL ведутся уже более 10 лет, и некоторые производители заявляют, что это невозможно. «Но мы доказали, что уязвимость существует», — говорит он.

«Поскольку OpenSSL сейчас является наиболее часто используемым криптографическим программным обеспечением в мире, для нас важно сохранять бдительность в отношении любой возможной атаки, независимо от того, насколько малы ее шансы.«Как только мы обнаружили уязвимость, мы связались с разработчиками OpenSSL и помогли им разработать исправление проблемы», — говорит он.


Портал обо всем