הנה שדרוג האבטחה שישאיר 40 מיליון אנשים מחוץ לאינטרנט

המנעול הירוק שאתה רואה בשורת הכתובת שלך מציין חיבור אותנטי ופרטני. תעודה זו מבטיחה כי המידע שלך יישאר בגבולות האתר המהימנים וכי האתר שבו אתה מבקר הוא למעשה האתר אותו הוא מתיימר להיות. כאשר אתה נכנס לפייסבוק, במילים אחרות, אתה הבטיח גם כי א) מידע שלך - התחברות, תקשורת, תמונות וכו '- נשאר בתוך גבולות מאובטח של האתר ב) פייסבוק הוא למעשה פייסבוק, לא מתחזה.

אם מישהו היה לפצח אתר מוצפן SHA-1, הם היו צריכים את ידיהם על מידע בעל ערך רב - מה שהופך את העלות של הפריצה הראשונית זניח. אדם, ארגון או אומה יכולים להצטייר כמו פייסבוק, אומרים, תוך מיירט כל חילופים או מידע פרטי שהם רצו כל כך ליירט. איום נוסף הוא התקפת התחזות, שבה אדם, ארגון או מדינה מתחזים לאתר כדי לגנוב מידע על משתמשים.

לאור חוסר הביטחון של SHA-1, רוב האתרים העיקריים מסכימים כי המעבר הוא איחור. אבל יש חיסרון. משתמשי אינטרנט עם טלפונים ישנים או שולחנות עבודה לא יוכלו לגשת לאתרים מוצפנים של SHA-2. טלפונים ישנים או מחשבים יש תקרות וירטואליות המונעות מהתוכניות או האפליקציות שלה לעדכן. ו SHA-2 יהיה סוג של "אתה חייב להיות זה גבוה לרכוב" למדוד על דפדפנים. בעיקרו של דבר, אם הטלפון או המחשב שלך אינו "גבוה מספיק" - לקרוא: חדש מספיק, מעודכן מספיק - כדי "לרכוב", אתרי SHA-2 מוצפנים יהפוך אותך משם.

CloudFlare, שחקר את הבעיה וסיפק את הפתרון שלהם, רשם 25 מדינות עם תמיכה פחותה - ומצא כי רשימה זו "חופפת לרשימות של המדינות העניות ביותר, המדכאות ביותר והמדינות הקרועות ביותר בעולם". העולם יהיה חסך: בצפון אמריקה ובמערב אירופה, מעל 99 אחוזים של הדפדפנים הם תואם SHA-2. בסין, לעומת זאת, הדמות יורדת לכ -93%, ובקמרון, תימן, סודן, מצרים, לוב, חוף השנהב, נפאל, גאנה וניגריה היא נמצאת בסביבות 95%. אחוז ההדרה נראה נמוך, אך נלקח בהקשר זה מסתכם במספר מדהים של משתמשי האינטרנט.

התוצאה הסופית היא כי הרוב המכריע של המשתמשים אשר יופנו מן הנסיעה SHA-2 יהיו אלה שאולי צריך ביותר לגשת לאתרים. (חשוב על השפעת פייסבוק וטוויטר על האביב הערבי). בנוסף, מדינות שעשויות להמשיך לתשתית באמצעות פלטפורמות מיושנות יהפכו לפגיעות להתקפה.

ב -31 בדצמבר 2015, חלק מהאתרים הגדולים באינטרנט יהיו מחוץ לתחום של כמעט 40 מיליון משתמשים. פתרון ראשוני הגיוני אבל קשה השנה לשדרג טכנולוגיית הצפנה יחסום את כ -5 אחוזים מכלל האוכלוסייה המתפתחת של העולם המקוון מאתרים מאובטחים, מאושרים כמו גוגל, פייסבוק וטוויטר.

אם הטלפון שלך בן יותר מחמש שנים, לא תכלול גם אותו.

זה הכל בגלל לעבור טכנולוגיית ההצפנה SHA-2 מקודמו, SHA-1. זה קצת מבלבל אבל הנה זה הולך: לפני SHA-1, טלפונים ניידים השתמשו בהצפנה MD5 טק, אשר, בשנת 2008, נמצא חוסר ביטחון. זה לא היה עד 2013 כי MD5 היה בהדרגה החוצה, ו SHA-1 הפך את הכלל.

עד מהרה, מומחים אבטחה סדוק SHA-1. עם מחשבים מהירים ומהירים יותר, זה מקבל זול וזול יותר לפצח אתרים SHA-1: מחקר 2012 הזהיר כי בעוד שנה זה יעלה $ 2.77 מיליון דולר לעשות זאת, הנתון בשנת 2015 יירד ל 700,000 $. (בשנת 2018, האומדן ירד ל 173,000 $, בשנת 2021, זה היה רק ​​43,000 $.) עכשיו זה 2015, אם כי - כמו ארס טכנאי "החוקרים מאמינים כי התקפה כזו יכולה להתבצע השנה עבור 75,000 $ ל 120,000 $."

זה מדאיג, או ראוי לציון, משתי סיבות. ראשית, האתרים הדורשים את הרמות הגבוהות ביותר של אבטחה הם האתרים שמקבלים את התנועה ביותר, האתרים הפופולריים ביותר. שוב, אלה כוללים (אך אינם מוגבלים כלל) ל- Google, Facebook ו- Twitter והאתרים הקשורים אליהם. שנית, המשתמשים שהמכשירים שלהם לא יעברו את הבר ממוקמים בעיקר במדינות מתפתחות, לעתים קרובות מדינות שנפגעו על ידי מלחמה ועוול.

הפתרון של CloudFlare, שבו פייסבוק משעתק, הוא לאפשר "SHA-1 downback". משתמשים אשר היו חסומים אחרת מחוץ CloudFlare או אתרי פייסבוק יהיה במקום לקבל גישה תחת הגנות SHA-1. זה לא פתרון אידיאלי - פגמי הביטחון עדיין קיימים - אבל לפחות זה יהיה פחות הדרה.

(כבר עברנו ל- SHA-2 כאן הפוך. אם אתה קורא מאמר זה, אז, אתה יכול להיות סמוך ובטוח כי תוכל לגשת אל האתרים המועדפים עליך לבוא 2016.)