freak-ssl-tls-vulnerability

კრიპროლოგების ჯგუფმა აღმოაჩინა უსაფრთხოების ხარვეზი რომელიც ჯერ კიდევ 90 იანი წლებიდან იწყება და დღესაც ტოვებს მომხმარებელს საფრთხის წინაშე .  “სახელად” Factoring attack on RSA-EXPORT Key იგივე FREAK  და ეს საფრთხე ემუქრება ყველას ვინც უყენებს ბრაუზერ საფარის Mac ზე და iOS მოწყობილობებს , ან ანდროიდის სტოკ ბრაუზერები მარტივად ექცევიან კონტროლ ქვეშ როდესაც სტუმრობენ “დაცულ” საიტებს საიდანაც ხარვეზის ცუდი გზით გამოყენება . კვლევაში მონაწილე  წევრებმა  გამოაქვეყნეს საიტების სია რომელებიც მოიცავენ აღნიშულ საფრთხეს . აღსანიშნავია რომ მასალა მოიცავს სახელმწიფოს საკუთრებაში არსებულ საიტებსაც , მაგ : Whitehouse.gov , NSA.gov და FBI.gov . იმისათვის რომ გავიგოთ რა არის FREAK  უნდა დავბრუნდეთ 1990 წელში , როდესაც SSL  დეველოპმინგი განვითარების შუა ეტაპზე იყო.

 

როგორც ჩანს , ამერიკის მთავრობას სჭირდებოდა კომპანიები , რომ გამოეყენებინა სისუსტეები , 512-ბიტიანი დაშიფვრა საზღვრის გარეთა ვიზიტორებისგან , და უფრო ძლიერი დაშიფრვრა ქვეყნის შიდა მომხმარებლებისთვის . იმისათვის რომ ეს გაკეთებულიყო , SSL  დეველოპერებმა მექანიზმი ისე ააგეს რომ ორივე მოთხოვნა შესრულებულიყო . მიუხედავად იმისა რომ მთავრობამ მოითხოვა ცვლილებები ამ საკითხთან დაკავშირებით უკვე გვიანი იყო , რადგანაც მექანიზმი დასრულებული და გავრცელებული იყო , ის უკვე გამოიყენებოდა ბევრ სოფტში . ამის გამო კვლევების განმავლობაში  , გუნდი უტევდა ბრაუზერებს სუსტი შიფრაციით და ერთერთ წევრს შეეძლო გაეტეხა 7 საათის განმავლობაში გამოყენებული 75 კომპიუტერის სიმძლავრით ეს სისუსტე . შედარებისთვის 1024 ბიტიანი შიფრაციის გატეხვისთვის საჭირო იქნებოდა მთელი არმია cracker – ების და რამოდენიმე მილიონი კომპიუტერის სიმძლავრე , ასევე თითქმის ერთი წელი შედეგის მისაღწევად .

მკვლევარები ჯერჯერობით ვერ ამბობენ არის თუ არა ვინმე ვინც უკვე მიიღო ზიანი აღნიშნული პრობლემით , მაგრამ მათ დაამტკიცეს რომ ეს მეთოდი შესაძლებელია გამოიყენო პერსონალური ინფორმაციის მოპარვისათვის , ისევე როგორც ეს ხარვეზი გაუჩნდა აღნიშნულ საიტებს . ორივე კომპანია Apple და Google -იც უკვე მუშაობენ განახლებაზე  , iOS და Mac მომხმარებლები განახლებას სავარაუდოდ მომდევნო კვირაში მიიღებენ , ანდროიდ მომხმარებლებს მოუწევთ ცდა სანამ მათი მობილური ოპერატორები არ გაავრცელებენ განახლებას , ამ დროისთვის საუკეთესო გზა არის Chrome for mobile ვერსია , რომელიც დაცულია ამ ტიპის ხარვეზისგან .