Acasă Securitywatch Yahoo nu merită laudă pentru securitate sporită

Yahoo nu merită laudă pentru securitate sporită

Video: Lidia Buble - Lacatul si femeia (Official Video) (Noiembrie 2024)

Video: Lidia Buble - Lacatul si femeia (Official Video) (Noiembrie 2024)
Anonim

Da, Yahoo a activat în cele din urmă criptarea HTTPS pentru utilizatorii de e-mail, dar nu pare că firma ar fi depus eforturi pentru a o face într-o manieră sigură.

Toate comunicațiile Yahoo Mail - indiferent dacă sunt pe web, web mobil, aplicații mobile sau chiar prin IMAP, POP și SMTP - sunt acum criptate în mod implicit folosind certificate de 2, 048 biți, a scris Jeff Bonforte, vicepreședintele principal al produselor de comunicare Yahoo. Tumba lui Yahoo Mail săptămâna aceasta. Această mișcare va proteja întregul conținut de e-mailuri, atașamente, contacte, informații din calendar și chiar date Messenger, pe măsură ce se deplasează între browserul utilizatorului și serverele Yahoo. Experții de securitate au avertizat că nu este suficient.

"Anunțul Yahoo că a activat criptarea HTTPS pentru toți utilizatorii Yahoo Mail nu este doar prea puțin prea târziu, ci și destul de tulburător", a declarat Tod Beardsley, directorul ingineriei Metasploit la Rapid7.

Credit Acolo unde se datorează creditul

Yahoo a început să ofere utilizatorilor conștienți de securitate opțiunea de a activa HTTPS pentru ei înșiși la sfârșitul anului 2012. Ultima modificare înseamnă că acum criptarea este activată implicit, protejând pe toți, nu doar pe cei care au optat pentru mai multă securitate. Ținând cont de faptul că majoritatea utilizatorilor nu se aruncă niciodată în setări, este bine că Yahoo a pornit HTTPS în mod implicit. Gmail are HTTPS în mod implicit din 2010, Microsoft a lansat Outlook.com în iulie 2012 cu această caracteristică în mod implicit, iar Facebook a început să ruleze HTTPS în mod implicit către utilizatori în noiembrie 2012.

A fi întârziat la petrecere nu ar fi atât de rău dacă Yahoo s-ar fi gândit de fapt la unele dintre deciziile sale de securitate. Deși implementarea criptării în mod implicit este un „mare pas înainte pentru Yahoo”, „noua configurație lasă mult de dorit”, a spus Ivan Ristic, directorul cercetării în domeniul securității aplicațiilor la firma de securitate Qualys, pentru Security Watch . Cea mai mare problemă are legătură cu faptul că Yahoo a decis să nu suporte Perfect Forward Secrecy (PFS).

„Fără secretul avansat, datele criptate chiar sunt expuse riscului în urma compromisului cu cheie privată”, a avertizat Ristic.

O amorsare rapidă PFS

Cu criptarea HTTPS de bază, hackerii (sau agenții guvernamentali) care captează fluxul de date nu pot citi conținutul, deoarece nu au cheia privată a Yahoo. Cu toate acestea, dacă au achiziționat cheia la o dată ulterioară, ar putea să se întoarcă și să decripteze datele capturate anterior. Dacă site-ul a implementat Perfect Foward Secrecy, atunci chiar dacă cineva a obținut acces la cheie la o dată ulterioară, acea persoană nu poate să se întoarcă și să deblocheze toate sesiunile mai vechi.

Există o serie de moduri în care cheia privată ar putea fi expusă: un atac asupra serverelor Yahoo pentru a fura cheia sau pentru a descoperi o slăbiciune în cifrul în sine. Yahoo poate chiar să predea cheia, în mod voluntar sau din cauza unei ordonanțe judecătorești.

"Nu mă pot gândi la un motiv legitim pentru a prefera această strategie de criptare mai slabă", a spus Beardsley.

Nu indeajuns de bun

Există și alte probleme cu implementarea Yahoo, potrivit Ristic. Unele dintre serverele de e-mail HTTPS ale Yahoo folosesc RC4 ca cifru preferat, dar RC4 este considerat a fi slab. Microsoft și Cisco au eliminat recent utilizarea RC4. Este, de asemenea, vulnerabil la atacurile de refuz de serviciu distribuite, deoarece sprijină renegocierea inițiată de client, potrivit unui raport al SSL Labs.

Laboratoarele SSL clasează site-urile cu privire la securitatea generală a implementării sale SSL. Yahoo are doar un rating „B”.

Alte servere, cum ar fi login.yahoo.com, utilizează AES. AES este mai bun decât RC4, dar Yahoo nu a implementat atenuări de securitate pentru atacuri cunoscute precum BEAST, care vizează TLS 1.0 și protocoalele anterioare, și CRIME, un atac practic împotriva modului în care TLS este utilizat în browsere. Site-ul acceptă, de asemenea, „numai versiunile de protocol mai vechi, dar nu și cele mai recente și mai sigure TLS 1.2”, potrivit unui raport al SSL Labs.

Poate că Yahoo continuă să creeze kink-urile și o mai bună securitate va fi introdusă treptat în următoarele câteva săptămâni sau luni. Dar ar fi fost frumos să-și explice planurile în avans. Ce zici de asta Yahoo? Vă veți gândi la securitatea utilizatorului, în loc de ce este mai ușor pentru echipa dvs.?

Yahoo nu merită laudă pentru securitate sporită