Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Podatność FREAK również w Windowsach
Arstechnica donosi że również Microsoft jest – tzn. do niedawna był – podatny na atak FREAK.
FREAK, czyli w skrócie – atakujący realizując atak MiTM na HTTPS ma możliwość wykonania downgrade algorytmu RSA do jego wersji eksportowej (eksportowej z USA – czytaj: nadającej się do łatwego łamania) – pod warunkiem, że serwer taką wersję obsługuje – a następnie zdeszyfrowania komunikacji.
Początkowo wydawało się, że podatny będzie tylko Android, iOS oraz OSX, ale okazało się że i wszystkie wersje Windowsa mają problem.
Fakt, czy nasz serwer obsługuje szyfry exportowe (nie tylko RSA) można sprawdzić np. tak:
openssl s_client -connect sekurak.pl:443 -cipher EXPORT
Przy okazji też polecam mini e-book o openssl w kontekście testów / ochrony: SSL/TLS/HTTPS.
–ms