Вектор атаки Marvin воскресил 25-летнюю уязвимость в алгоритме RSA

Вектор атаки Marvin воскресил 25-летнюю уязвимость в алгоритме RSA

Вектор атаки Marvin воскресил 25-летнюю уязвимость в алгоритме RSA

Новый вектор атаки, получивший имя «Marvin Attack», вдохнул новую жизнь в древнюю уязвимость в криптографическом алгоритме RSA. С помощью Marvin злоумышленники могут обойти выпушенные ранее фиксы для бреши, обнаруженной аж в 1998 году.

В теории подобная атака может помочь киберпреступникам расшифровать тексы, подделать подписи и даже получить в открытом виде сессии, записанные на уязвимом TLS-сервере.

Исследователи из Red Hat с помощью стандартного набора «железа» показали, что Marvin можно запустить буквально в течение двух часов. Причём эксперты обращают внимание на широкий охват уязвимости: она затрагивает не только RSA, но и большинство ассиметричных криптографических алгоритмов.

«Несмотря на то что основными целями таких атак будут, безусловно, TLS-серверы, корень проблемы влияет на большинство ассиметричных криптографических алгоритмов: Diffie-Hellman, ECDSA и т. п.», — пишут специалисты.

В Red Hat выделили следующие имплементации, которые находятся в зоне риска:

  • CVE-2022-4304 — OpenSSL (на уровне TLS).
  • Без CVE-идентификатора — OpenSSL (на уровне API).
  • CVE-2023-0361 — GnuTLS (на уровне TLS).
  • CVE-2023-4421 — NSS (уровень TLS).
  • CVE-2020-25659 — pyca/cryptography.
  • CVE-2020-25657 — M2Crypto.
  • Без CVE-идентификатора — OpenSSL-ibmca.
  • Без CVE-идентификатора — Go.
  • Без CVE-идентификатора — GNU MP.

Сам вектор Marvin не получил единый CVE, поскольку отдельные имплементации могут ощутимо варьироваться. Другими словами, сейчас нет и одного патча, который бы разом устранил уязвимость. Исследователи порекомендовали использовал RSA PKCS#1 версии 1.5.

Авито планирует запустить сервис знакомств для серьёзных отношений

«Авито» рассматривает запуск собственного сервиса знакомств прямо внутри основного приложения. Компания подтвердила, что идея находится в проработке, но окончательного решения пока нет: сначала изучат рынок, поведение пользователей и спрос.

По данным «Коммерсанта», сервис планируют сделать бесплатным и ориентировать на серьёзные отношения.

Главной ставкой станет безопасность: обязательная верификация профилей, борьба с ботами и фейковыми анкетами, трёхступенчатая модерация и защищённые каналы общения. Для проверки личности могут подключить внешние сервисы, включая «Госуслуги».

Рекомендации партнёров хотят строить на технологиях, которые «Авито» уже использует в каталоге объявлений. На платформе работают более 100 моделей машинного обучения, и теперь им, возможно, придётся подбирать не квартиры и автомобили, а потенциальную любовь всей жизни.

Перед полноценным запуском компания собирается проверить интерес пользователей методом Fake Door: показать функцию так, будто она уже существует, и посмотреть, сколько человек попытаются ею воспользоваться.

Конкуренты встречают идею без паники. В Mamba считают выход «Авито» логичным, но напоминают, что обязательная верификация давно перестала быть уникальной фишкой. В Twinby предполагают, что сервис нужен прежде всего для увеличения времени, которое пользователи проводят в приложении.

Есть и неудобный вопрос: захотят ли люди смешивать профиль с объявлениями и анкету для знакомств. Всё-таки продавать диван и искать серьёзные отношения под одним аккаунтом — уровень цифровой открытости, к которому готовы не все.

Пока «Авито Знакомства» существуют только в планах. Но если проект запустят, привычная фраза «нашлось на Авито» получит совершенно новый смысл.

RSS: Новости на портале Anti-Malware.ru