19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal

Олег Иванов 13 Декабря 2017 - 11:22

...

19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal

19-летняя уязвимость в протоколе сетевой безопасности TLS была обнаружена в программном обеспечении, по меньшей мере, восьми ИТ-поставщиков и проектов с открытым исходным. Эта брешь может позволить злоумышленнику расшифровать зашифрованные сообщения.

Обнаруженный исследователями из Рурского университета в Бохуме, недостаток затрагивает серверы 27 из 100 самых популярных доменов, включая Facebook и PayPal.

«Проблемы в основном были обнаружены в дорогих коммерческих продуктах, которые часто используются для обеспечения контроля безопасности на популярных веб-сайтах», — говорит Крейг Янг (Craig Young), один из обнаруживших уязвимость экспертов.

Недостаток, о котором идет речь, был выявлен в 1998 году, когда Дэниэл Блейхенбахер (Daniel Bleichenbacher), швейцарский криптограф, работающий в настоящее время в Google, обнаружил уязвимость в реализации RSA PKCS #1 v1.5.

Недостаток может быть использован злоумышленниками для отправки повторяющихся запросов на сервер, на котором запущен уязвимый код, это позволит получать ответы, с помощью которых можно декодировать якобы безопасных сообщений.

Проблема не ограничивается TLS. Исследователи говорят, что подобные проблемы существуют также в XML Encryption, PKCS#11-интерфейсах, Javascript Object Signing and Encryption (JOSE), Cryptographic Message Syntax / S/MIME.

Эксперты назвали обнаруженную брешь ROBOT, что является аббревиатурой от Return Of Bleichenbacher’s Oracle Threat (Возвращение блейхенбахерской Oracle-угрозы).

«Oracle» в данном контексте не относится к крупной корпорации, имеются в виду уязвимые серверы, вытупающие в качестве оракулов, предоставляя ответы на запросы.

Как объясняет Янг, уязвимости удалось просуществовать так долго из-за того, что рекомендации для разработчиков программного обеспечения были слишком короткими и становились все сложнее с последующими итерациями.

«Конечный результат, как мы видим, представляет собой то, что многие разработчики программного обеспечения неправильно реализовали эти меры защиты», — утверждает Янг.

В качестве доказательства наличия этой бреши исследователи подписали сообщение с закрытым ключом HTTPS-сертификата facebook.com.

Также эксперты привели список затронутых ROBOT производителей:

F5	BIG-IP SSL vulnerability	CVE-2017-6168
Citrix	TLS Padding Oracle Vulnerability in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway	CVE-2017-17382
Radware	Security Advisory: Adaptive chosen-ciphertext attack vulnerability	CVE-2017-17427
Cisco ACE	End-of-Sale and End-of-Life	CVE-2017-17428
Bouncy Castle	Fix in 1.59 beta 9, Patch / Commit	CVE-2017-13098
Erlang	OTP 18.3.4.7, OTP 19.3.6.4, OTP 20.1.7	CVE-2017-1000385
WolfSSL	Github PR / patch	CVE-2017-13099
MatrixSSL	Changes in 3.8.3	CVE-2016-6883
Java / JSSE	Oracle Critical Patch Update Advisory – October 2012	CVE-2012-5081

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Мая 2026 - 12:39

Мошенничество GenAI (генеративный искусственный интеллект)Дипфейк (Deepfake)Онлайн-мошенничество Домашние пользователи Защита от мошенничества

В России разработали бесплатный детектор для поиска дипфейков

Компания «Архитех ИИ» разработала инструмент KodikScan для проверки цифрового контента на признаки генерации или обработки с помощью искусственного интеллекта. Сервис будет доступен бесплатно и рассчитан на пользователей, журналистов, блогеров и редакции, которым нужно быстро понять, насколько материал похож на фейк.

KodikScan умеет анализировать изображения, видео, аудио и текст. Система ищет скрытые признаки ИИ-генерации: визуальные паттерны, структуру шума, динамику кадров в видео, особенности голоса в аудио и статистические закономерности в тексте.

После этого инструмент оценивает вероятность того, что контент был создан или изменён нейросетью.

По словам разработчика ИИ-среды Kodik Рафаэля Гильмурахманова, сервис задумывался как инструмент для цифровой гигиены. Он отметил, что фейковый контент всё чаще используют в мошеннических схемах: например, злоумышленники могут присылать «кружочки» или видеосообщения якобы от знакомых с просьбой перейти по ссылке или перевести деньги.

Для обычных пользователей такая проверка может стать способом не повестись на подделку. Для СМИ и авторов пабликов — дополнительным фильтром перед публикацией спорных материалов. Особенно это актуально на фоне обсуждения инициатив по превентивной блокировке резонансных дипфейков до проверки их достоверности.

Разработчики также планируют предоставить KodikScan журналистам российских СМИ для тестирования в рабочих задачах. Воспользоваться сервисом может любой желающий на сайте scan.kodik.ru: достаточно загрузить файл и получить оценку вероятности применения ИИ.

По данным «Архитех ИИ», на тестах инструмент определял признаки генерации искусственным интеллектом с точностью 98,03%. При этом, как и с любыми подобными системами, результат стоит воспринимать не как окончательный приговор, а как подсказку: если сервис видит признаки ИИ, материал точно стоит проверить внимательнее.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!