Podatność FREAK również w Windowsach

Arstechnica donosi że również Microsoft jest – tzn. do niedawna był – podatny na atak FREAK.

FREAK, czyli w skrócie – atakujący realizując atak MiTM na HTTPS ma możliwość wykonania downgrade algorytmu RSA do jego wersji eksportowej (eksportowej z USA – czytaj: nadającej się do łatwego łamania) – pod warunkiem, że serwer taką wersję obsługuje – a następnie zdeszyfrowania komunikacji.

Początkowo wydawało się, że podatny będzie tylko Android, iOS oraz OSX, ale okazało się że i wszystkie wersje Windowsa mają problem.

Fakt, czy nasz serwer obsługuje szyfry exportowe (nie tylko RSA) można sprawdzić np. tak:

openssl s_client -connect sekurak.pl:443 -cipher EXPORT

Przy okazji też polecam mini e-book o openssl w kontekście testów / ochrony: SSL/TLS/HTTPS.

–ms