Μετά το Heartbleed εμφανίστηκε το Logjam. Όσοι ασχολούνται με την τεχνολογία, θα θυμούνται την ευπάθεια Heartbleed, που ήρθε να μας υπενθυμίσει ότι η ασφάλεια δεν είναι δεδομένη στο Internet. Ενώ οι IT ακόμα προσπαθούν να το ξεχάσουν την ευπάθεια της SSL που τους ανάγκασε να τρέχουν και να μην φτάνουν, ερευνητές ανακάλυψαν άλλο ένα σημαντικό μειονέκτημα στο SSL που ονομάζεται “Logjam” ή στα Ελληνικά “αδιέξοδο” και επηρεάζει μια σειρά από θεμελιώδη πρωτόκολλα του Web.
Το bug επηρεάζει έναν αλγόριθμο που ονομάζεται “Diffie-Hellman key exchange” ο οποίος επιτρέπει σε πρωτόκολλα όπως το HTTPS, SSH, IPsec, SMTPS να ανταλλάξουν ένα κοινό κλειδί για να δημιουργήσουν μια ασφαλή σύνδεση.
O κρυπτό-αναλυτής Matthew Green από το πανεπιστήμιο του Johns Hopkins, ανακάλυψε αρκετές αδυναμίες στον αλγόριθμο και δημοσίευσε μια τεχνική έκθεση που τις περιγράφει με λεπτομέρειες. Μπορείτε να διαβάσετε την ακαδημαϊκή εργασία από εδώ (PDF).
Η επίθεση επιτρέπει man-in-the-middle υποβαθμίζοντας την ασφάλεια των συνδέσεων σε χαμηλότερο επίπεδο κρυπτογράφησης (512 bit) το οποίο μπορεί να διαβαστεί με σχετική ευκολία.
Αυτό σημαίνει, ότι οι ομάδες που μεγάλη υπολογιστική ισχύη στη διάθεσή τους, όπως ας πούμε η NSA, θα μπορούσε να σπάσει ακόμη και ισχυρότερη κρυπτογράφηση (768-bit ή ακόμα και 1024-bit.) που χρησιμοποιεί τον αλγόριθμο.
Η μελέτη εκτιμά ότι μέχρι και το 8,4% από τις κορυφαίες 1.000.000 ιστοσελίδες είναι ευάλωτες, μαζί με έναν τεράστιο αριθμό υπηρεσιών ηλεκτρονικού ταχυδρομείου και άλλα συστήματα.
Μπορείτε να ελέγξετε εάν το πρόγραμμα περιήγησής σας είναι ευάλωτο από εδώ. Κατά τη στιγμή της συγγραφής αυτού του άρθρου όλα τα μεγάλα προγράμματα περιήγησης είναι ακόμα ανοικτά στην επίθεση.
Η Google έχει αρχίσει ήδη να αναπτύσσει ένα patch που θα αυξήσει την απαίτηση SSL στο Chrome στα 1024 bit.
Όσοι από εσάς είστε διαχειριστές διακομιστών, θα πρέπει να ακολουθήσετε άμεσα τις οδηγίες (link στο τέλος της δημοσίευσης) που έχουν εκδοθεί για να προστατέψετε το περιβάλλον σας από το Logjam bug.
Για όλους τους άλλους, προσοχή μην σερφάρετε σε άγνωστες ιστοσελίδες, ή ιστοσελίδες που σας προτείνουν άγνωστοι.
Όλα τα γνωστά προγράμματα περιήγησης επηρεάζονται από αυτή την ευπάθεια.