- Els resultats
- Què han de dir els experts?
- Què pots fer?
Si creieu que les vostres dades eren segures, penseu-ho de nou. Com que segons els estudis acadèmics, es va comprovar que a causa de la vulnerabilitat de TLS 1.3, els pirates informàtics ara poden accedir a un canal segur i poden recopilar dades per al propòsit maliciós.
El treball de recerca va ser publicat per la Universitat de Tel Aviv, la Universitat d'Adelaida i la Universitat de Michigan i l'Institut Weizmann. A més, NCC Group i Data61 també han conclòs conclusions similars.
Els resultats
L'atac és la versió modificada de l'atac oracle de Bleichenbacher que, en el passat, va ser capaç de descodificar un missatge xifrat RSA mitjançant la criptografia en clau pública.
Aquesta nova onada, però, busca treballar contra el TLS 1.3, que és la versió més recent entre els protocols TLS. Les autoritats creien que era segur, però sembla que no, i això és alarmant.
Com que TLS 1.3 no admet l'intercanvi de claus RSA, els investigadors van pensar que seria millor procedir amb la versió de baixada, és a dir, TLS 1.2 per tal de valorar l'atac.
Com a resultat, mitigacions de baixada, com un costat del servidor i un dels dos clients, que anul·len l'atac de baixada. D’acord amb això, que si hi hagués claus RSA més grans, aquests atacs s’haurien pogut evitar i, també, s’hauria reduït el temps d’aplicacions de mans.
Es van estudiar nou implementacions diferents de TLS; OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL i GnuTLS dels quals BearSSL i Google BoringSSL no eren segurs. Tots els altres es van mantenir en situació de vulnerabilitat.
Què han de dir els experts?
Pel que fa al nombre d'atacs, Broderick Perelli-Harris, director general de Venafi, creu que han aparegut des del 1988 sota variacions de Bleichenbacher. Per tant, no sorprèn que TLS 1.3 sigui també vulnerable.
Jake Moore, especialista en ciberseguretat a ESET UK, opina que l'atac de naturalesa criptogràfica no és el primer i no serà l'últim d'aquest tipus. També opina que s’assembla al joc de Whac-A-Mole: cada vegada que s’aplica una correcció de seguretat, apareix una altra.
Què pots fer?
Tot plegat, l’error està en el maquillatge original del protocol de xifrat TLS. Però, per ara, a causa del disseny mateix del protocol, el pedaç és l’única manera de seguir.
Què podeu fer per tant, per protegir-vos? Feu servir l’autenticació de dos factors (2FA), mantingueu actualitzat el vostre programari com ara anti-malware / antivirus, establint contrasenyes més fortes i un servei VPN decent com Ivacy.
