TLS
Цифровой апокалипсис неизбежен - подписывайтесь на наш канал и будьте готовы к нему!
Хакеры атаковали известную в США компанию в сфере удалённого доступа
Платформа GoTo подверглась взлому, похищены данные корпоративных клиентов.
Хакеры выдали себя за американского поставщика оружия
Тактика киберпреступников указала на следующие цели группировок.
2 новых опасных уязвимости в OpenSSL ставят под угрозу более 7000 хостов
Ошибки приводят к состоянию DoS и удаленному выполнению кода.
Китайские цензоры обновили инструменты блокировки ресурсов
TLS-шифрование больше не помогает.
Venafi: интернет стал не безопаснее, чем полгода назад
Слабые ключи и устаревшее управление идентификацией машин препятствуют внедрению TLSv1.3.
Исправлена критическая уязвимость удаленного выполнения кода в Splunk Enterprise
Кроме одной критической, внеполосные исправления устранили множество более мелких уязвимостей.
Бесплатные TLS-сертификаты обеспечат доступность сайтов
Получить TLS-сертификат можно будет на портале Госуслуг в полностью дистанционном режиме.
АНБ предупредило об атаках ALPACA с использованием подстановочных TLS-сертификатов
Атака позволяет похитить личные данные или выполнить произвольный JavaScript-код в контексте уязвимого web-сервера.
Apple отказалась от TLS 1.0 и 1.1 в новых версиях iOS, macOS, watchOS и tvOS
Компания рекомендует разработчикам приложений перейти сразу на TLS 1.3.
Представлен новый метод MitM-атак на HTTPS
Техника работает при условии, что у злоумышленника есть возможность перехвата трафика на уровне TCP/IP.
TLS 1.0 и TLS 1.1 официально признаны устаревшими
Ни один современный браузер не загружает сайты по HTTPS, настроенному через эти протоколы.
ISRG разрабатывает новый TLS-модуль для web-сервера Apache
Написанный на Rust модуль mod_tls станет альтернативой текущему модулю mod_ssl.
АНБ США призвало сисадминов отказаться от устаревших версий TLS
АНБ рекомендовало больше не использовать SSL 2.0, SSL 3.0, TLS 1.0 и TLS 1.1 и перейти на TLS 1.2 или TLS 1.3.
Атака Raccoon позволяет при определенных условиях взломать TLS
Raccoon представляет собой атаку по времени (timing attack) на процесс обмена ключами в протоколе Диффи-Хеллмана.
Microsoft прекратит поддержку TLS 1.0 и TLS 1.1 в репозитории ПО для Linux 24 сентября
С 15 октября 2020 года компания также перестанет поддерживать TLS 1.0/1.1 в Office 365.
Китайские власти стали блокировать HTTPS-трафик
«Великий китайский файрвол» теперь блокирует HTTPS-соединение, мешающее фильтровать и цензурировать трафик.
Microsoft назначила дату прекращения поддержки TLS 1.0 и 1.1 в Office 365
Впервые о намерении прекратить поддержку небезопасных версий протокола Microsoft сообщила еще в декабре 2017 года.
Apple и Mozilla будут принимать TLS-сертификаты со сроком действия не более 398 дней
Разработчики браузеров вынудили УЦ принять тот факт, что срок действия TLS-сертификатов теперь составляет 398 дней.
Уязвимость в GnuTLS позволяет осуществлять MitM-атаки
Эксплуатация уязвимости позволяет возобновить ранее прекращенный сеанс TLS без сессионного ключа.
Microsoft отложила прекращение поддержки TLS 1.0 и 1.1 в IoT Hub
Изначально Microsoft планировала отказаться от поддержки протоколов 1 июля 2020 года.
Google отложила отказ от поддержки TLS 1.0 и TLS 1.1 в Chrome
Новая версия Chrome 81 по-прежнему поддерживает TLS 1.0 и TLS 1.1, хотя Google изначально планировала отказаться от них.
Microsoft отложила отключение протоколов TLS 1.0 и TLS 1.1 в Edge до июля 2020 года
Решение связано с пандемией коронавирусной инфекции.
АНБ выпустило рекомендации по устранению рисков, связанных с проверкой TLS-трафика
Рекомендации помогут снизить риски, связанные с использованием TLSI, и выявить возможную эксплуатацию.
В Windows Server 2019 появилась функция блокировки устаревших версий TLS
Функция Disable Legacy TLS позволяет сервисам предлагать возможность «четкого разделения конечных точек на две группы на одном аппаратном обеспечении».
Злоумышленники выдают ботов за людей с помощью нового трюка
Киберпреступники научились выдавать вредоносный трафик за легитимный путем изменения сообщений ClientHello.
В Facebook Fizz исправлена опасная уязвимость
Уязвимость в реализации протокола TLS 1.3 от Facebook позволяет вызвать сбой в работе web-сервисов.
Positive Technologies приглашает на вебинар «Как выявлять активность злоумышленников в зашифрованном трафике»
Вебинар состоится 28 марта в 14:00.
Южная Корея начала блокировку HTTPS-трафика с помощью SNI-фильтрации
До недавнего времени SNI-фильтрация использовалась сравнительно редко.
Let's Encrypt прекратит поддержку TLS-SNI-01
Поддержка протокола прекратится 13 февраля 2019 года.
Google реализовала поддержку DNS-over-TLS в своем DNS-сервисе
Протокол DNS-over-TLS существенно затрудняет проведение атаки «человек посередине».
Новый вид атаки Padding Oracle позволяет перехватить закрытые ключи шифрования
Метод Cache Attacks позволяет понизить версии большинства текущих реализаций TLS.
Рекламщики используют новый способ отслеживания пользователей через TLS
Техника основывается на использовании механизма возобновления сеанса связи TLS Session Resumption.
Apple, Google, Microsoft и Mozilla объявили о прекращении поддержки TLS 1.0 и 1.1
Производители призвали отказаться от использования устаревших версий протокола TLS.
Разработан новый протокол для защиты от атак повторного воспроизведения
Протокол Token Binding Protocol будет привязывать токены авторизации к уровню TLS.
Cloudflare реализовала шифрование для SNI в процессе TLS-рукопожатия
Зашифрованный Server Name Indication снижает риск раскрытия имени хоста, с которым соединяется клиент.
Новая версия OpenSSL получила поддержку TLS 1.3
В OpenSSL 1.1.1 реализована новая версия протокола TLS, поддержка алгоритмов шифрования, новый генератор случайных чисел и пр.
Уязвимость в Traefik раскрывает закрытые ключи TLS-сертификатов
Уязвимость также позволяет раскрыть onion-сайты, использующие обратный прокси-сервер Traefik.
IETF одобрил TLS 1.3 в качестве нового стандарта в интернете
Отныне TLS 1.3 будет стандартным методом установления канала зашифрованной связи между сервером и клиентом.
Представлен метод сокрытия передачи данных по TLS в обход защиты периметра
Новый метод предполагает передачу данных во время обмена сертификатами.
Десятки iOS-приложений позволяют перехватывать данные пользователей
Из-за ошибок в коде приложения могут принимать недействительные сертификаты TLS.
BREACH-атака позволяет быстро расшифровать HTTPS трафик
Эксперты продемонстрировали атаку на примере Gmail и чата Facebook.
Появился новый бесплатный сервис для проверки безопасности SSL/TLS
Разработчиком сервиса стала ИБ-компания High-Tech Bridge.
Индустрия платежных карт окончательно откажется от SSL
Согласно обновленному стандарту безопасности данных PCI DSS 3.1, интернет-сообществу стоит перейти на TLS.
Уязвимость 13-летней давности в SSL/TLS упрощает хищение конфиденциальных данных
С помощью новой атаки «бар-мицва» можно раскрыть SSL/TLS-трафик, не прибегая к атаке «человек посередине».
В OpenSSL и Apple SecureTransport до сих пор присутствует уязвимость более чем 20-летней давности
Брешь FREAK Attack существует из-за экспортных ограничений, действовавших на территории США в 90-х годах.
Два программных продукта Cisco уязвимы к атаке по TLS
Эксплуатация бреши POODLE позволяет неавторизованному злоумышленнику расшифровать содержимое защищенного канала коммуникации.
Qualys: POODLE можно эксплуатировать для атак по TLS
Специалисты Google считают, что для обеспечения криптографической безопасности необходимо использовать, по меньшей мере, TLS 1.2 с поддержкой AEAD.
Уязвимость в TLS-протоколах позволяет получать доступ к данным пользователей
Ошибка в TLS-протоколах может быть использована для получения доступа к паролям и другой конфиденциальной информации пользователей.
Старые алгоритмы шифрования защитят от уязвимости в TLS/SSL
Эксперты компании PhoneFactor рекомендуют использовать протокол шифрования RC4, так как он не подвержен уязвимости в TLS 1.0.
SSL-шифрование ненадежно, брешь распространяется на миллионы сайтов
Исследователи Таи Дуонг и Джулиано Риццо планируют выступить на конференции Ekoparty в Буэнос-Айрес с докладом, описывающим уязвимости в протоколе TLS 1.0.
Ботнет Rustock рассылает спам по шифрованным каналам
Эксперты по кибербезопасности обнаружили, что в настоящее время 70% спам-рассылок, проводимых с ботнета Rustock, использует протокол TLS.
В протоколах TLS и SSL найдена серьезная уязвимость
В представленных технических данных сказано, что уязвимость в TLS кроется в процессе аутентификации. Потенциальный злоумышленник может вторгнуться в сессию легитимного пользователя и успешно перехватывать данные от пользователя и сервера.