FREAK-Angriff: Eine gefährliche Sicherheitslücke von uns verursachten Regierungspolitik

Eine Gruppe von Informatikern haben gezeigt, dass eine gefährliche Sicherheitslücke, die viele Handys und andere Maschinen zum Angriff eröffnen könnte. Das Schlimmste daran ist, dass das Problem seine Wurzeln in einer fehlgeleiteten US Regierung Bemühung hat, verhindern, dass Verbraucher Zugang zu starke Verschlüsselung.

Der Fehler selbst stammt aus mangelhafte Umsetzung der verschlüsselten Verbindung zwischen Browser und die Webseiten, die sie besuchen. Forscher entdeckten, dass sie einen Angriff von vermeintlich sichere Websites starten konnte – von der US-Regierung Websites bis hin zu Banken – und zwingen, Browser, eine schwächere Form der Verschlüsselung zu verwenden, deren geheime Schlüssel innerhalb von Stunden geknackt werden konnte. Sie nennen es den FREAK-Angriff (FREAK steht für Factoring RSA exportieren Schlüssel).

Über bei der Washington Postbeschreibt Craig Timberg die Ergebnisse:

Für gefährdete Standorte [Kryptographie Experte Nadia] Heninger fand, dass sie in etwa sieben Stunden, die Export-Grade-Verschlüsselungs-Schlüssel knacken konnten mit Computern auf Amazon Web Services. Dadurch könnten Hacker führen, nennen Experten einen "Man-in-the-Middle"-Angriff, scheinbar verschlüsselten Datenverkehr leicht lesbar zu machen. Solche Angriffe können von niemandem gestartet werden, die Zugriff auf Internet-Verkehr, einschließlich Regierungen, Internet-Provider und Cafés oder Flughäfen, die wifi-Hotspots zu bieten hat.

Aber wie so viele Sehenswürdigkeiten und Browsern möglicherweise anfällig für solche gefährlichen Angriff? Die Antwort ist deprimierend. Es ist tatsächlich das Ergebnis der US-Regierungspolitik, schwächere Verschlüsselung in Produkte zu bauen, die die USA in den 1990er Jahren exportiert wurde. Bei der Washington Postschneidet Timberg, den Kern der Sache:

Der Fehler von einer ehemaligen US-Regierungspolitik geführt, das Verbot die Ausfuhr der starken Verschlüsselung und verlangt, dass schwächere "Export-Grade"-Produkte an Kunden in anderen Ländern ausgeliefert werden, sagen die Forscher, die das Problem entdeckt. Diese Beschränkungen wurden in den späten 1990er Jahren aufgehoben, aber die schwächere Verschlüsselung bekam in weit verbreitete Software, der auf der ganzen Welt stark vermehrt und zurück in den Vereinigten Staaten, scheinbar unbemerkt bis zu diesem Jahr gebacken.

Forscher entdeckten in den letzten Wochen, dass sie, Browsern zwingen, die schwächere Verschlüsselung verwenden könnte, dann im Laufe von wenigen Stunden zu knacken. Einmal geknackt, konnte Hacker stehlen Passwörter und andere persönliche Informationen und möglicherweise einen weiteren Angriff auf die Web-Seiten selbst durch die Übernahme von Elementen auf einer Seite, wie zum Beispiel einen Facebook "Gefällt mir"-Button zu starten.

Das Problem beleuchtet die Gefahr von unbeabsichtigten Sicherheit folgen zu einem Zeitpunkt, als Technologie-Unternehmen, "Türen" in Systemen, die Fähigkeit des Gesetzes Strafverfolgungsbehörden und Nachrichtendienste Agenturen, Überwachung durchzuführen zu schützen bieten Top US-Beamten, frustriert durch zunehmend starke Formen der Verschlüsselung auf Smartphones, gefordert haben.

Im Wesentlichen kam diese Politik der USA zurück, um das Land in den Hintern beißen. Schwache Verschlüsselung wurde gesetzlich an Amerikaner verkauft. Und jetzt, fast jedes Handy draußen in der freien Wildbahn ist anfällig für Angriffe. Ein Angriff, den die US-Regierung verhindert haben könnte, durch einen robusteren Verschlüsselung in allen Produkten.

Das Schlimmste? In der Regel erhalten nicht Sie Updates von Ihrem Mobilfunkanbieter für das Android Betriebssystem in Ihrem Telefon. So wird dieser Fehler wahrscheinlich nicht gepatchte für Millionen von Menschen gehen. Der Fehler wird iOS zu beeinflussen, aber ist sehr viel wahrscheinlicher gepatcht werden.

Leider ist die US-Regierung noch ansprechender Politik heute, die morgen in ähnliche Sicherheitslücken führen wird. Fragt die NSA Unternehmen Backdoors in ihre Software für die Regierung zu bauen, wird es zwangsläufig früher oder später ein ähnliches Problem schaffen. Eine Hintertür ist schließlich nur eine Sicherheitslücke, durch die vermeintlichen guten verwendet werden soll. Leider, sie können von jedermann genutzt werden, und sie bewusst in Software zu bauen braucht nur für Ärger.

Möchten Sie wissen, ob Ihr Telefon oder Computer FREAK anfällig ist, besuchen Sie die Freak attackierende Seite, die Ihnen sagen. Und Matt Green hat eine gute, technische Erläuterung der Funktionsweise des Angriffs.

Rechts jetzt, wir warten nur auf Updates für unsere Telefone zu patchen. Hoppla, habe ich ein Android-Handy. Ich werde aber gleich hier sein. Warten.

Kontaktieren Sie den Autor unter [email protected].
Öffentlichen PGP-Schlüssel
PGP-Fingerprint: CA58 326B 1ACB 133B 0D 15 5BCE 3FC 6 9123 B2AA 1E1A