Krypteringshull utvidet fra mobil til alle Windows-PC-er
Freak-svakheten i nettlesere er oppgradert etter at det ble kjent at ikke bare Apple og Android var i faresonen. Alle versjoner av Windows og Internet Explorer er også rammet.
En gammel hilsen fra den kalde krigen rammer sikkerheten til de mest brukte mobil- og pc-systemene på planeten. Sikring av nettverkssamband via krypterte nettkanaler kalt SSL, og etterfølgeren TLS, har i årevis kunnet svekke seg selv.
Denne uka ble det avslørt at denne funksjonen kunne brukes av kriminelle til å bryte seg inn i slike sikre samband. Hullet har fått navnet "Freak".
Grunnen til at dette har fått ligge i fred så lenge, var gamle eksportrestriksjoner på sikkerhetsteknologi mellom USA og deres allierte og resten av verden. Avansert og sterk kryptering var ikke tillatt eksportert. Dermed ble det lagt inn en automatikk i SSL og senere TLS-protokollene om å svekke og gjenbruke gamle krypteringsnøkler dersom teknologien ble laget for eksport.
Når eksportrestriksjonene ble fjernet, ble ikke protokollene endret. Denne svekkelsen kan nå brukes av crackere til å bryte seg inn i eller overstyre nettverkssamband som er kryptert med SSL eller TLS, skriver Computerworld i USA.
Vanlige brukere kjenner igjen SSL/TLS i nettlesere når adressen skifter navn til "https" eller ulike vsuelle symboler som nøkler og hengelåser aktiveres.
Rammet først "bare" mobiler
Tidligere i uka var det kun Apple og deres IOS og MacOS med Safari-nettleser og Google og deres Android og Chrome som var i faresonen. Ille nok, siden dette omfatter 96 prosent av alle nyere mobile enheter på planeten.
Fredag ble det klart at Windows og deres Internet Explorer likevel ikke var utenfor faresonen. Dermed var 93 prosent av alle PC-er i tillegg til MacOS omfattet.
Apple har varslet at de vil tette dette hullet i Ios og OS X i neste uke. Google har sendt ut en tettingsoppdatering til AndroidOS via sine partnere. Microsoft har lagt ut midlertidige tips for å komme rundt problemet her, og varsler oppdatering til Windows Vista og nyere Windows-OS i neste uke.
Windows XP, som nådde slutten på støtteperioden sin i fjor vår, er ikke med i tetteannonseringen. Sannsynligheten er stor for at også dette aldrende og mye brukte OS-et også er sårbart. Om det vil bli tettet for andre enn de som har betalt ekstra for forlenget brukerstøtte er ikke klart.
Billig å knekke gammal sikkerhet
Det er skyen som nå gjør at gammel teknologisvekkelser blir ekstremt ille. En 512-biters krypteringsnøkkel brukt i gamle dager krevde uker i en tung dataserver for å knekkes i slutten av forrige årtusen. I dag kan en slik nøkkel knekkes i løpet av noen timer i en skytjeneste som Amazon EC2-server, til en leiekostnad til AWS på 760 kroner.
Dagens SSL og TLS-samband bruker 2056-biters-nøkler, som foreløpig fortsatt krever mye mer for å muligens kunne knekkes.
Det var franske INRIA, et teknologi- og forskningsinsitutt ved Paris og forskere i Microsoft Research som avdekket og varslet om hullet tirsdag.