Ученые нашли новую уязвимость в базовой защите Интернет

13:40 2016-03-03 41 openssl защита иза компьютер университет

Рейтинг 2/5, всего 4 голосов

Одна из самых распространённых программных технологий защиты, OpenSSL, уязвима для так называемой атаки по побочным каналам (side channel attack).

К такому выводу пришли доктор Ювал Яром из Аделаидского университета (Австралия), Дэниэль Генкин из Университета Тель-Авива и Надя Хэнингер, сообщает Компьютерное обозрение.

OpenSSL обеспечивает шифрование данных для множества приложений на большинстве типов компьютеров и аналогична криптографическим пакетам, используемым в веб-браузерах Google Chrome (BoringSSL) и Firefox (Mozilla’s Network Security Service (NSS)).

Атака с использованием побочных каналов позволяет хакеру извлекать важную информацию о ПО из физических параметров работы компьютерной системы, таких как моментальные изменения потребления энергии.

В данном случае, команда под руководством доктора Ярома с большой точностью (менее одной наносекунды) отслеживала время обращения к различным программам. На основании этих измерений ученые смогли восстановить ключи, применяемые OpenSSL для идентификации пользователя компьютера.

Вопрос об уязвимости OpenSSL для взлома таким способом оставался открытым на протяжении более 10 лет, ряд производителей были убеждены, что это невозможно. «Но мы доказали, что такая уязвимость существует», — заявил Яром.

На данном этапе подтверждена возможность преодоления защиты OpenSSL только на компьютерах с процессорами Sandy Bridge корпорации Intel, предложенный авторами метод может не работать с машинами на других чипах Intel.

Яром считает, что вероятность успешного взлома компьютера этим способом очень мала — их эксперимент можно рассматривать как идеальную ситуацию с тщательно контролируемыми условиями. Если все же оценивать относительную степень риска, то наиболее велика она для серверов, в особенности облачных, что же касается домашних ПК, для них существуют другие, намного более удобные в применении техники взлома.

Авторы открытия уже связались с разработчиками OpenSSL и будут сотрудничать с ними в устранении проблемы.


Асад заявил, что после захвата Алеппо война в Сирии не закончится
Асад заявил, что после захвата Алеппо война в Сирии не закончится
11:17 2016-12-08 10

Twitter назвал самые популярные хештеги 2016 года
Twitter назвал самые популярные хештеги 2016 года
23:18 2016-12-07 9

Генсек НАТО призвал Запад сохранить давление и санкции против России
Генсек НАТО призвал Запад сохранить давление и санкции против России
13:17 2016-12-07 17

Стало известно, чем занимался в Сирии российский полковник-танкист
13:17 2016-12-07 34

Том Круз против сексуальной мумии в первом трейлере фильма «Мумия»
12:22 2016-12-07 28

В Сирии погиб полковник российской армии
11:16 2016-12-07 15

Pа последний час новости о войне в Сирии: СМИ сообщили о планах проверить изготовителя тросов для «Адмирала Кузнецова»
08:28 2016-12-06 55

Cводки Алеппо и карта сейчас, 07 декабря Самыми обсуждаемыми фигурами в России в 2016 году стал президент и британский актер — данные Twitter
08:27 2016-12-06 37

Pа последний час новости о войне в Сирии: Сеть насмешил украинский след в крупном военном конфузе Путина
08:27 2016-12-06 65

Сирия 07 декабря 2016: Военные впервые рассказали о боевых «Катранах» для «Адмирала Кузнецова»
08:27 2016-12-06 57