Інженерна рада інтернету (Internet Engineering Task Force, IETF) офіційно визнала криптографічні протоколи TLS 1.0 і TLS 1.1 застарілими, через їх загрозу безпеці.
IETF рекомендує всім компаніям, урядовим організаціям та розробникам ПЗ використовувати актуальні версії TLS – TLS 1.2 і TLS 1.3, які вважаються безпечними.
Процес офіційного визнання обох протоколів застарілими почався в 2018 році. Його ініціаторами виступили IETF і вендори ПЗ, в тому числі виробники найбільших браузерів. Причиною стало виявлення за останні кілька років цілої низки атак на SSL, TLS 1.0 і TLS 1.1, таких як BEAST, POODLE, ROBOT, SWEET 32, LUCKY 13 тощо.
Хоча процес офіційного визнання TLS 1.0 і TLS 1.1 застарілими почався в червні 2018 року, свого піку він досяг у жовтні того ж року, коли великі виробники браузерів Apple, Google, Microsoft і Mozilla оголосили про намір відмовитися від їх використання в своїх продуктах. Завершення процесу було призначено на початок 2020 року, але через пандемію COVID-19 було перенесено на більш пізній термін.
На цей момент TLS 1.0 і TLS 1.1 офіційно визнані застарілими, і жоден сучасний браузер не завантажує сайти через HTTPS, якщо вони налаштовані через ці протоколи. Але незважаючи на це, багато організацій як і раніше використовують їх. За даними Shodan, більш 32 млн. серверів і пристроїв все ще відкривають доступ до точок підключення TLS 1.0 і TLS 1.1.
Хоча деякі системи можуть так ніколи і не оновитися, важливо розуміти, що обидва протоколи сильно застаріли. TLS 1.0 був представлений в 1999 році, а TLS 1.1 – в 2006 році, задовго до того, як кіберзлочинці отримали обчислювальні ресурси, які у них є сьогодні для здійснення просунутих потужних криптографічних атак.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як відновити видалені публікації чи історії в Instagram? ІНСТРУКЦІЯ
Чому у Вас є як мінімум три мільярди причин змінити пароль облікового запису?
Нагадаємо, що майже всі найпопулярніші програми Android використовують компоненти з відкритим вихідним кодом, але багато з цих компонентів застаріли і мають як мінімум одну небезпечну уразливість. Через це вони можуть розкривати персональні дані, включаючи URL-адреси, IP-адреси і адреси електронної пошти, а також більш конфіденційну інформацію, наприклад, OAuth-токени, асиметричні закриті ключі, ключі AWS і web-токени JSON.
Окрім цього, фахівці компанії AdaptiveMobile Security повідомили подробиці про небезпечну проблему в технології поділу мережі 5G. Уразливість потенційно може надати зловмисникові доступ до даних і дозволити здійснювати атаки типу “відмови в обслуговуванні” на різні сегменти мережі 5G оператора мобільного зв’язку.
Також дослідники безпеки виявили в Google Play і Apple App Store сотні так званих fleeceware-додатків, які принесли своїм розробникам сотні мільйонів доларів.
До речі, в даркнеті виявили оголошення про продаж підроблених сертифікатів про вакцинацію і довідок про негативний тест на Covid-19. Крім того, число рекламних оголошень про продаж вакцин від коронавірусу збільшилося на 300% за останні три місяці.
Двох зловмисників з Кривого Рогу викрили у привласненні 600 тисяч гривень шляхом перевипуску сім-карт. Отримавши мобільний номер, зловмисники встановлювали дані про особу, яка раніше його використовувала. Для цього вони авторизувалися у різних мобільних додатках, зокрема поштових служб, державних, комунальних та медичних установ, використовуючи функцію відновлення паролю.