Security Lab

TLS

1624
TLS
TLS (Transport Layer Security) - это протокол безопасности, используемый для шифрования данных при их передаче по сети. Он заменил старый протокол SSL (Secure Sockets Layer) и используется в браузерах, почтовых серверах, мессенджерах и других программах для защиты конфиденциальности и целостности данных при их передаче по сети.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Биометрия не спасет: найден способ обхода защиты FIDO2

Действительно ли аппаратные ключи безопаснее, чем пароли?

Новая постквантовая криптография Google Chrome вызывает глобальные сбои в сети

Администраторы столкнулись с нарушением TLS-соединений после обновления.

Код красный: в одном из продуктов Ivanti найдена очередная дыра безопасности

Обновите корпоративное ПО, пока хакеры не добрались до ваших данных.

Кэширование на сверхзвуковых скоростях: Microsoft представила Garnet

Эпохальный рывок в сфере обработки данных высвобождает истинный потенциал веб-приложений.

Максимальная криптозащита: Microsoft отказывается от слабых RSA-ключей

Новые стандарты защиты данных выводят безопасность Windows на новый уровень.

Прощальное обновление HexChat 2.16.2: конец эпохи IRC-клиентов

HexChat объявляет о последнем релизе после 12 лет разработки.

Решетчатые атаки: новый способ взлома SSH и IPsec с помощью ошибок в подписях

Ошибка размером всего в один бит может поставить конфиденциальность данных под угрозу.

Microsoft играет в шпиона: конфиденциальность пользователей Outlook под большим вопросом

Новая итерация популярного почтового клиента подозревается в несанкционированной передаче данных.

Безопасность большинства сетевого трафика в опасности из-за устаревших криптографических протоколов

SSL 3.0 и TLS 1.0 всё ещё в ходу. Когда компании поймут, что угроза реальна?

Отчет об опасностях современного интернета: WatchGuard расставляет киберугрозы по полочкам

Компания проанализировала статистику за последние несколько месяцев. Что удалось выяснить?

Зашифрованное приветствие от Mozilla или как сделать интернет-сёрфинг более конфиденциальным

Пользователи Firefox обзавелись ещё одним веб-барьером, повышающим приватность в Сети.

От TLS 1.0 и 1.1 к новым стандартам безопасности — планы Microsoft

В Windows 12 корпорация намерена улучшить защиту данных пользователей.

Геополитические игры в киберпространстве: «HiatusRAT» меняет фокус на США и Тайвань

Новая тактика Китая по раскрытию секретов соперников и шпионажа.

Кустарное шифрование в китайском приложении Sogou поставило под угрозу 455 миллионов пользователей

Разработчики решили не использовать готовых решений, но не учли, что их путь будет тернист и извилист.

Новый скрытный троян SeroXen RAT обходит антивирусы и даёт хакерам полный доступ к целевым компьютерам

Пока что инструмент используется против обычных геймеров, но его популярность рано или поздно поставит под удар и корпоративный сектор.

Хакеры атаковали известную в США компанию в сфере удалённого доступа

Платформа GoTo подверглась взлому, похищены данные корпоративных клиентов.

Хакеры выдали себя за американского поставщика оружия

Тактика киберпреступников указала на следующие цели группировок.

2 новых опасных уязвимости в OpenSSL ставят под угрозу более 7000 хостов

Ошибки приводят к состоянию DoS и удаленному выполнению кода.

Китайские цензоры обновили инструменты блокировки ресурсов

TLS-шифрование больше не помогает.

Venafi: интернет стал не безопаснее, чем полгода назад

Слабые ключи и устаревшее управление идентификацией машин препятствуют внедрению TLSv1.3.

Исправлена критическая уязвимость удаленного выполнения кода в Splunk Enterprise

Кроме одной критической, внеполосные исправления устранили множество более мелких уязвимостей.

Бесплатные TLS-сертификаты обеспечат доступность сайтов

Получить TLS-сертификат можно будет на портале Госуслуг в полностью дистанционном режиме.

АНБ предупредило об атаках ALPACA с использованием подстановочных TLS-сертификатов

Атака позволяет похитить личные данные или выполнить произвольный JavaScript-код в контексте уязвимого web-сервера.

Apple отказалась от TLS 1.0 и 1.1 в новых версиях iOS, macOS, watchOS и tvOS

Компания рекомендует разработчикам приложений перейти сразу на TLS 1.3.

Представлен новый метод MitM-атак на HTTPS

Техника работает при условии, что у злоумышленника есть возможность перехвата трафика на уровне TCP/IP.

TLS 1.0 и TLS 1.1 официально признаны устаревшими

Ни один современный браузер не загружает сайты по HTTPS, настроенному через эти протоколы.

ISRG разрабатывает новый TLS-модуль для web-сервера Apache

Написанный на Rust модуль mod_tls станет альтернативой текущему модулю mod_ssl.

АНБ США призвало сисадминов отказаться от устаревших версий TLS

АНБ рекомендовало больше не использовать SSL 2.0, SSL 3.0, TLS 1.0 и TLS 1.1 и перейти на TLS 1.2 или TLS 1.3.

Атака Raccoon позволяет при определенных условиях взломать TLS

Raccoon представляет собой атаку по времени (timing attack) на процесс обмена ключами в протоколе Диффи-Хеллмана.

Microsoft прекратит поддержку TLS 1.0 и TLS 1.1 в репозитории ПО для Linux 24 сентября

С 15 октября 2020 года компания также перестанет поддерживать TLS 1.0/1.1 в Office 365.

Китайские власти стали блокировать HTTPS-трафик

«Великий китайский файрвол» теперь блокирует HTTPS-соединение, мешающее фильтровать и цензурировать трафик.

Microsoft назначила дату прекращения поддержки TLS 1.0 и 1.1 в Office 365

Впервые о намерении прекратить поддержку небезопасных версий протокола Microsoft сообщила еще в декабре 2017 года.

Apple и Mozilla будут принимать TLS-сертификаты со сроком действия не более 398 дней

Разработчики браузеров вынудили УЦ принять тот факт, что срок действия TLS-сертификатов теперь составляет 398 дней.

Уязвимость в GnuTLS позволяет осуществлять MitM-атаки

Эксплуатация уязвимости позволяет возобновить ранее прекращенный сеанс TLS без сессионного ключа.

Microsoft отложила прекращение поддержки TLS 1.0 и 1.1 в IoT Hub

Изначально Microsoft планировала отказаться от поддержки протоколов 1 июля 2020 года.

Google отложила отказ от поддержки TLS 1.0 и TLS 1.1 в Chrome

Новая версия Chrome 81 по-прежнему поддерживает TLS 1.0 и TLS 1.1, хотя Google изначально планировала отказаться от них.

Microsoft отложила отключение протоколов TLS 1.0 и TLS 1.1 в Edge до июля 2020 года

Решение связано с пандемией коронавирусной инфекции.

АНБ выпустило рекомендации по устранению рисков, связанных с проверкой TLS-трафика

Рекомендации помогут снизить риски, связанные с использованием TLSI, и выявить возможную эксплуатацию.

В Windows Server 2019 появилась функция блокировки устаревших версий TLS

Функция Disable Legacy TLS позволяет сервисам предлагать возможность «четкого разделения конечных точек на две группы на одном аппаратном обеспечении».

Злоумышленники выдают ботов за людей с помощью нового трюка

Киберпреступники научились выдавать вредоносный трафик за легитимный путем изменения сообщений ClientHello.

В Facebook Fizz исправлена опасная уязвимость

Уязвимость в реализации протокола TLS 1.3 от Facebook позволяет вызвать сбой в работе web-сервисов.

Positive Technologies приглашает на вебинар «Как выявлять активность злоумышленников в зашифрованном трафике»

Вебинар состоится 28 марта в 14:00.

Южная Корея начала блокировку HTTPS-трафика с помощью SNI-фильтрации

До недавнего времени SNI-фильтрация использовалась сравнительно редко.

Let's Encrypt прекратит поддержку TLS-SNI-01

Поддержка протокола прекратится 13 февраля 2019 года.

Google реализовала поддержку DNS-over-TLS в своем DNS-сервисе

Протокол DNS-over-TLS существенно затрудняет проведение атаки «человек посередине».

Новый вид атаки Padding Oracle позволяет перехватить закрытые ключи шифрования

Метод Cache Attacks позволяет понизить версии большинства текущих реализаций TLS.

Рекламщики используют новый способ отслеживания пользователей через TLS

Техника основывается на использовании механизма возобновления сеанса связи TLS Session Resumption.

Apple, Google, Microsoft и Mozilla объявили о прекращении поддержки TLS 1.0 и 1.1

Производители призвали отказаться от использования устаревших версий протокола TLS.

Разработан новый протокол для защиты от атак повторного воспроизведения

Протокол Token Binding Protocol будет привязывать токены авторизации к уровню TLS.

Cloudflare реализовала шифрование для SNI в процессе TLS-рукопожатия

Зашифрованный Server Name Indication снижает риск раскрытия имени хоста, с которым соединяется клиент.

Новая версия OpenSSL получила поддержку TLS 1.3

В OpenSSL 1.1.1 реализована новая версия протокола TLS, поддержка алгоритмов шифрования, новый генератор случайных чисел и пр.

Уязвимость в Traefik раскрывает закрытые ключи TLS-сертификатов

Уязвимость также позволяет раскрыть onion-сайты, использующие обратный прокси-сервер Traefik.

IETF одобрил TLS 1.3 в качестве нового стандарта в интернете

Отныне TLS 1.3 будет стандартным методом установления канала зашифрованной связи между сервером и клиентом.

Представлен метод сокрытия передачи данных по TLS в обход защиты периметра

Новый метод предполагает передачу данных во время обмена сертификатами.

Десятки iOS-приложений позволяют перехватывать данные пользователей

Из-за ошибок в коде приложения могут принимать недействительные сертификаты TLS.  

BREACH-атака позволяет быстро расшифровать HTTPS трафик

Эксперты продемонстрировали атаку на примере Gmail и чата Facebook.

Появился новый бесплатный сервис для проверки безопасности SSL/TLS

Разработчиком сервиса стала ИБ-компания High-Tech Bridge.

Индустрия платежных карт окончательно откажется от SSL

Согласно обновленному стандарту безопасности данных PCI DSS 3.1, интернет-сообществу стоит перейти на TLS.

Уязвимость 13-летней давности в SSL/TLS упрощает хищение конфиденциальных данных

С помощью новой атаки «бар-мицва» можно раскрыть SSL/TLS-трафик, не прибегая к атаке «человек посередине».

В OpenSSL и Apple SecureTransport до сих пор присутствует уязвимость более чем 20-летней давности

Брешь FREAK Attack существует из-за экспортных ограничений, действовавших на территории США в 90-х годах.

Два программных продукта Cisco уязвимы к атаке по TLS

Эксплуатация бреши POODLE позволяет неавторизованному злоумышленнику расшифровать содержимое защищенного канала коммуникации.

Qualys: POODLE можно эксплуатировать для атак по TLS

Специалисты Google считают, что для обеспечения криптографической безопасности необходимо использовать, по меньшей мере, TLS 1.2 с поддержкой AEAD.

Уязвимость в TLS-протоколах позволяет получать доступ к данным пользователей

Ошибка в TLS-протоколах может быть использована для получения доступа к паролям и другой конфиденциальной информации пользователей.

Старые алгоритмы шифрования защитят от уязвимости в TLS/SSL

Эксперты компании PhoneFactor рекомендуют использовать протокол шифрования RC4, так как он не подвержен уязвимости в TLS 1.0.

SSL-шифрование ненадежно, брешь распространяется на миллионы сайтов

Исследователи Таи Дуонг и Джулиано Риццо планируют выступить на конференции Ekoparty в Буэнос-Айрес с докладом, описывающим уязвимости в протоколе TLS 1.0.

Ботнет Rustock рассылает спам по шифрованным каналам

Эксперты по кибербезопасности обнаружили, что в настоящее время 70% спам-рассылок, проводимых с ботнета Rustock, использует протокол TLS.

В протоколах TLS и SSL найдена серьезная уязвимость

В представленных технических данных сказано, что уязвимость в TLS кроется в процессе аутентификации. Потенциальный злоумышленник может вторгнуться в сессию легитимного пользователя и успешно перехватывать данные от пользователя и сервера.