Video: Marley - Red Toy Poodle (Oktober 2024)
Raziskovalci so v programu Secure Sockets Layer (SSL) odkrili še eno resno ranljivost, ki vpliva na to, kako so naše informacije in komunikacije v spletu zavarovane. Dobra novica je, da lahko izvedete posebne ukrepe za blokiranje napadov, ki izkoriščajo to napako.
Googlovi raziskovalci Bodo Möller, Thai Duong in Krzysztof Kotowicz so v varnostnem svetovanju, objavljenem na OpenSSL.org, orisali podrobnosti napada Padding Oracle On Downgraded Legacy Encryption (POODLE). Ranljivost je v SSL 3.0, ki je bil predstavljen leta 1996, leta 1999 pa ga je nadomestil varnostni sistem TLS (Transport Layer Security). Poodle izkorišča dejstvo, da bodo stranke - vključno s spletnimi brskalniki - prešli na starejše, manj varne protokole, če bodo ne more vzpostaviti varne povezave. Znižanje lahko sprožijo napake v omrežju in aktivni napadalci.
"Ker lahko omrežni napadalec povzroči napake v povezavi, lahko sproži uporabo SSL 3.0 in nato to težavo izkoristi, " je Möller v torek popoldne zapisal na spletnem spletnem dnevniku Googlove spletne ekipe.
Poodle izpostavi piškotke seje. Napadalci ne bodo prejeli uporabniškega gesla za e-poštne račune ali druge spletne storitve, vendar se bodo lahko še vedno prijavili kot uporabnik, dokler je piškotek seje veljaven. "Tako boste, ko ste že pri Starbucksu, lahko nek heker poleg vas objavil tvitove v vašem Twitter računu in prebral vsa vaša Gmail sporočila, " je dejal Robert Graham iz podjetja Errata Security.
Prva linija obrambe
Napad Pudla se opira na nasprotnika, ki je najprej postavil napad človeka v sredini in tako prevzel nadzor nad internetno povezavo žrtve. Eden od načinov za to je, da na javni lokaciji, kot je kavarna, postavite zlonamerno dostopno točko Wi-Fi. Tudi napadalci morajo imeti možnost, da v brskalniku žrtve izvajajo Javascript kodo.
"Za izkoriščanje je potreben nekdo, ki je človek v sredini. To pomeni, da ste verjetno varni pred hekerji doma, čeprav niso varni pred NSA. Če pa v lokalnem Starbucksu ali drugem šifriranem omrežju Wi-Fi, so v tej nevarnosti resno nevarni, "je zapisal Graham.
Torej je že nekaj stvari, ki jih lahko preprečite, da bi potencialni napadi pudla uspeli. Kot smo vedno znova povedali, ne prihajajte brez volje v javna omrežja Wi-Fi ali omrežja za goste, ki jih upravljajo ljudje, ki jih ne poznate. Tudi če vas pudel ne skrbi, so napadi človeka v sredini resni in se zaščitite tako, da bodite previdni, v katera omrežja se povežete.
Če morate vzpostaviti javno omrežje, uporabite VPN, bodisi z vašega delovnega mesta, ali katero od številnih storitev VPN, ki so na voljo. Obstaja kar nekaj zunanjih, kot so PrivateInternetAccess, CyberGhostVPN in HotSpot Shield, ki jih lahko naštejemo le nekaj.
Napadalci bodo verjetno prevarali uporabnike pri obisku zlonamerne spletne strani, namenjene izvajanju posebej izdelane kode Javascript. Pazite, katera spletna mesta obiščete in bodite pozorni na spletna mesta z lažnim predstavljanjem.
Zakaj še vedno imamo SSL 3.0?
Večina sodobnih strežnikov in aplikacij uporablja TLS 1.1 ali 1.2, vendar se SSL 3.0 še vedno pogosto uporablja za podporo starih aplikacij in sistemov. Internet Explorer 6 je en dober primer. Medtem ko IE 6 ni tako viden kot nekoč, je visel precej dolgo, zato je bilo vgrajenih kar nekaj strežnikov in aplikacij, ki podpirajo SSL 3.0, skupaj z bolj varnim TLS. Netcraft ocenjuje, da je skoraj 97 odstotkov spletnih strežnikov SSL verjetno ranljivih.
"Danes bi ga lahko precej ubili na večini krajev, " je zapisal raziskovalec varnosti Troy Hunt, vendar je to le del težave, saj so tam zunaj stranke, ki so lahko odvisne od sposobnosti, da se vrnete na SSL 3.0. Ne vemo, katere so, zato so podjetja manj pripravljena samo vleči čep. Na primer, obstajala so poročila o Twitterju, da se je MetroTwit, priljubljen odjemalec za Windows, zanašal na SSL 3.0 in prenehal delovati, potem ko je Twitter onemogočil podporo SSL 3.0 v torek zvečer (MetroTwit je izdal hitri popravek, mimogrede, zato morate svojo stranko posodobiti).
"Negotovost ohranja te tehnologije zgodnje generacije žive, " je dejal Hunt.
Odpravite težavo z brskalnikom
Uporabite sodoben, standardno skladen spletni brskalnik. Mozilla bo SSL 3.0 privzeto onemogočila naslednjo različico Firefoxa, predvidoma 25. novembra, Google pa jo bo izbrskal iz Chroma. Safari samodejno omogoči SSL, toda Apple se še ni odločil o svojih načrtih za brskalnik. Microsoft je objavil nasvet z navodili o izklopu SSL 3.0 z namiznih računalnikov in strežnikov Windows.
"Ni treba sovražiti Microsofta, kot to počne Internet Explorer 10 ali 11, " je dejal Garve Hays, arhitekt rešitev NetIQ.
Ročno lahko izklopite SSL 3.0 v IE tako, da potrdite polje SSL 3.0 pod zavihki Napredno v meniju Internet Options. Uporabniki Firefoxa bi morali v brskalniku obiskati približno.config in vrednost za security.tls.version.min spremeniti v 1. Lahko prenesejo tudi dodatek Mozilla, da onemogočijo SSL 3.0. Uporabniki Chroma, ki želijo onemogočiti SSL 3.0, lahko v brskalnik dodajo zastavico ukazne vrstice --ssl-version-min = tls1 .
Uporabniki Safarija bodo morali počakati na posodobitev, kadar koli pride. Začasno bivanje zunaj Safarija bo zmanjšalo verjetnost napada Pudla.
Ko je Microsoft aprila aprila prenehal podpirati sistem Windows XP, je še vedno obstajalo dovoljenje, ki je trdilo, da ne vidi razloga za nadgradnjo na operacijski sistem. Če ti uporabniki še vedno uporabljajo Internet Explorer 6, bodo začeli opažati, da se bodo stvari prekinile po spletu. CloudFlare je privzeto onemogočil SSL 3.0 za vsa spletna mesta, ki jih gosti, vključno z 2 milijoni spletnih mest, ki uporabljajo brezplačni načrt. Ta odločitev bo vplivala na manj kot 1 odstotek vsega prometa na njenih spletnih mestih, je dejal Cloudflare. Veliko podjetij bo verjetno sledilo Twitterjevemu zgledu in izklopilo podporo na svojih spletnih mestih. Če še vedno uporabljate IE 6 ali Windows XP, morate resnično nadgraditi.
"Če danes uporabljate IE 6 (ja, še vedno jih je) in nimate izbire za nadgradnjo, ker so" razlogi ", ste polnjeni, " je zapisal Hunt.
