Найдена уязвимость, ставящая под угрозу регистрационные данные пользователей криптовалютных бирж

27 октября 2017 г.

Найдена уязвимость, ставящая под угрозу регистрационные данные пользователей криптовалютных бирж

Криптовалютные исследователи обнаружили новый эксплойт «DUHK» (Don’t use hard-coded keys), который может быть использован для похищения учетных данных пользователей криптовалютных обменников. Источником уязвимости, которая сделала этот эксплойт осуществимым, является ANSI X9.31 RNG, алгоритм генератора псевдослучайных чисел, который использовался в бесчисленных продуктах за последние 30 лет. В последнее время он используется для защиты сеансов просмотра в Интернете и виртуальных частных сетях (VPN). Это поставило под угрозу бесчисленные продукты от таких компаний, как TechGuard и Cisco, так как они и другие компании в отрасли регулярно полагались на ANS X9.31 RNG. Проблема с этим конкретным PRNG заключается в том, что он был закодирован в исходном коде многих продуктов вендоров, практика, известная как «жесткое кодирование».

Специалисты по криптографии Надя Хенингер, Шаанан Кони и Мэтью Грин поняли в ходе своих исследований, что эти жестко закодированные ключи могут быть обратно спроектированы. Все это означает, что хакеры могут использовать DUHK для управления выводами данных с использованием обратного расчета начального значения, чтобы разблокировать ключи шифрования - ключи, которые затем могут быть использованы для получения регистрационных данных и даже данных банковского счета.

У пользователей есть много причин беспокоиться об их безопасности в Интернете в октябре, так как DUHK - это лишь третий крупный эксплойт, обнаруженный за последние четыре недели. В середине месяца исследователь Imec-DistriNet Мати Ванхоф обнаружил атаку KRACK - способ манипулировать протоколами WPA2 для перехвата зашифрованного трафика. А затем была атака факторизации ROCA - эксплойт, который помещал свои данные в миллиарды устройств. Все три из этих атак поставили учетные данные пользователей криптовалюты под угрозу.

Комментарии

Никто ещё не оставил комментариев. Желаете быть первым?