Warning: fopen(!logs-errors-php.log): failed to open stream: Permission denied in /var/www/html/!php-gen-lang/v1-core/function_main.php on line 137

Warning: fwrite() expects parameter 1 to be resource, boolean given in /var/www/html/!php-gen-lang/v1-core/function_main.php on line 138

Warning: fclose() expects parameter 1 to be resource, boolean given in /var/www/html/!php-gen-lang/v1-core/function_main.php on line 139
 hack som det er 1998: websteder er stadig sårbare over for genoplivet robotudnyttelse - Hack

Hack Like It's 1998: Websteder, der stadig er sårbare for genoplivet ROBOT-udnyttelse



Another week, yet another security bulletin in tech news, with yet another vulnerability that joins the fray of both Intel's meltdown and Western Digital's MyCloud hacks. A team of researchers recently wrote a paper they titled 'Return Of Bleichenbacher's Oracle Threat (ROBOT)'. This paper went on to show how a well-known, circa 1998 exploit is still a viable way to take advantage of websites of even big name companies and services, such as Facebook and PayPal (in total, around 2.8% of the top 1 million sites also tested positive). The ROBOT exploit, a critical, 19-year-old vulnerability that allows attackers to decrypt encrypted data and sign communications using compromised sites' secret encryption key, is still valid. Only, it's 19 years later.

Kernen i spørgsmålet stammer fra en sårbarhed, der blev opdaget i 1998 af forskeren Daniel Bleichenbacher, der fandt sårbarheden i TLS-forgængeren kendt som sikre sockets-lag. Angrebet kaldes en Oracle-trussel, fordi angribere kan skrive specialiserede forespørgsler, som webstederne og de berørte systemer reagerer med 'Ja' eller 'Nej'; som sådan er det muligt, givet tilstrækkelig tid, for angribere at opbygge mængden af ​​afsløret følsom information og få et klart billede af de beskyttede data. Til fejlens opdagelse af Bleichenbacher, svarede SSL-arkitekter tilsyneladende på en B-filmtype, som ikke desto mindre kunne have været nødvendigt for at holde alle systemer grønne: ved at designe løsninger oven på løsninger, snarere end at fjerne eller omskrive den defekte RSA-algoritme. 'Vi var i stand til at identificere otte leverandører og åbne-
Kildeprojekter og et betydeligt antal værter, der var sårbare over for mindre variationer af Bleichenbachers adaptive-valgte chiffertekstangreb fra 1998, ”skrev forskerne i deres forskningsartikel. ”Det mest bemærkelsesværdige faktum ved dette er, hvor lidt indsats det tog os at gøre. Vi kan derfor konkludere, at der ikke er tilstrækkelig test af moderne TLS-implementeringer af gamle sårbarheder. ' Påvirkede produkter inkluderer nogle fremstillet af F5, Citrix og Cisco.

'The surprising fact is that our research was very straightforward. We used minor variations of the original attack and were successful. This issue was hiding in plain sight,' the researchers wrote in a blog post. 'This means neither the vendors of the affected products nor security researchers have investigated this before, although it's a very classic and well-known attack.' Sources: Return Of Bleichenbacher’s Oracle Threat (ROBOT) Paper, Robot Attack, via ArsTechnica, via TPU Forums @ user StefanM