Expertii IT avertizeaza ca au descoperit un nou bug de securitate grav, care se pare ca a trecut nedetectat ani de zile, si care poate compromite conexiunile criptate intre calculatoare si website-uri, slabind securitatea globala a Internetului.
Bug-ul in cauza, care a fost denumit “FREAK” (Factoring attack on RSA-EXPORT Keys), afecteaza protocolul de securitate Secure Sockets Layer (SSL) si succesorul sau, Transport Layer Security (TLS). Acesta poate permite unui atacator sa intercepteze traficul criptat dintre clienti si servere.
Expertii in securitate spun ca bug-ul afecteaza multe site-uri populare, precum si programe, inclusiv browser-ul Apple Safari si sistemul de operare mobil Android. Aplicatiile care utilizeaza o versiune de OpenSSL mai veche de 1.0.1k sunt de asemenea vulnerabile la bug-ul FREAK.
Problema provine de la restrictiile la export impuse de guvernul Statelor Unite la inceputul anilor ’90, care interzicea producatorilor de software sa exporte produse cu criptare puternica, a spus Ed Felten, profesor de informatica la Universitatea Princeton.
Acest lucru insemna ca unele companii de software americane au exportat versiuni ale produselor lor cu chei de criptare mai slabe, pentru utilizare externa. Cand legea a fost schimbata si a devenit legal exportul de produse software cu criptare puternica, “vechile chei de criptare nu au fost eliminate din protocoalele de securitate SSL/TLS deoarece unele software-uri inca depindeau de acestea”, a scris Felten.
Bug-ul FREAK, care a fost descoperit abia acum, permite atacatorilor sa “downgradeze” nivelul de securitate al conexiunilor, de la un nivel de criptare puternica la nivelul de criptare specific anilor ’90, cand a fost data legea care interzicea producatorilor de software sa exporte produse cu criptare puternica.
Serverele si dispozitivele care utilizeaza OpenSSL – un program de criptare open-source – sunt vulnerabile, inclusiv multe dispozitive Google si Apple, dar si alte produse.