Новини: запис SSL трафіка, винагороди від Microsoft та дірявий Android
22:46 06.07.2013За повідомленням www.xakep.ru, SSL: перехопимо сьогодні, розшифруємо завтра.
Мільйони веб сайтів покладаються на SSL для захисту конфіденційної інформації, що передається по загальнодоступних каналах. Передбачається, що використання криптографічного захисту підвищує безпеку даних. У той же час недавно стали відомі секретні розпорядження АНБ по запису великих обсягів зашифрованого інтернет-трафіку для подальшого криптоаналізу.
Сенс запису зашифрованого трафіку в тім, що в майбутньому може виявитися доступним ключ для його розшифровки: у результаті судової постанови, соціальної інженерії, успішної атаки на веб сайт чи шляхом криптоаналізу.
Щоб уникнути негативних наслідків, експерти рекомендують використовувати шифри досконалої прямої таємності (Perfect forward secrecy). Такі шифри гарантують, що сесійні ключі, отримані за допомогою набору відкритих і закритих ключів довгострокового користування, не будуть скомпрометовані при компрометації одного з закритих ключів. При використанні PFS компрометація секретного ключа SSL не дозволить розшифрувати попередній трафік.
За повідомленням www.oszone.net, Microsoft пропонує винагороди за знаходження уразливостей у Windows 8.1 та IE11.
Компанія Microsoft анонсувала програму по пошуку несправностей та експлоітів у версії Windows 8.1 Preview, що була представлена на конференції BUILD 26 червня. Той, кому пощастить знайти по-справжньому невідомий дотепер експлоіт, зможе розраховувати на одержання круглої суми в $100 тисяч як винагороду по програмі Mitigation Bypass Bounty.
Таким фінансовим стимулюванням редмондська компанія бажає відшліфувати нову версію своєї операційної системи в плані безпеки. А пошук уразливостей IE11 у рамках програми IE11 Preview Bug Bounty триватиме з 26 червня по 26 липня.
За повідомленням www.xakep.ru, розсекречений Android майстер-ключ робить уразливими 99% пристроїв.
Фахівці з безпеки з компанії Bluebox Security повідомили про уразливість у моделі безпеки операційної системи Android, що дозволяє зловмиснику модифікувати уміст файлу APK, не змінюючи його криптографічного підпису.
Іншими словами, у будь-який додаток можна додати троян, зберігши криптографічний підпис оригінального автора додатка. Технічні подробиці про уразливість будуть розкриті у виступі на конференції Black Hat USA 2013, що почнеться 27 липня 2013 року.
Про проблеми з криптографією в додатках під Android я вже писав раніше. Як і про уразливості в різних додатках під цю ОС.
