Acasă Securitywatch Păstrează poodle la îndemână, cu siguranță de internet de bază

Păstrează poodle la îndemână, cu siguranță de internet de bază

Video: Volkswagen Golf VII Infotainment Discover Media test (Noiembrie 2024)

Video: Volkswagen Golf VII Infotainment Discover Media test (Noiembrie 2024)
Anonim

Cercetătorii au descoperit o altă vulnerabilitate gravă în Secure Sockets Layer (SSL), care afectează modul în care informațiile și comunicațiile noastre sunt securizate online. Vestea bună este că puteți lua măsuri specifice pentru a bloca atacurile care exploatează acest defect.

Cercetătorii Google, Bodo Möller, Thai Duong și Krzysztof Kotowicz, au prezentat detaliile atacului Padding Oracle On Downgraded Legacy Encryption (POODLE), într-un aviz de securitate postat pe OpenSSL.org. Vulnerabilitatea este în SSL 3.0, care a fost introdus în 1996 și înlocuit de Transport Layer Security (TLS) în 1999. Poodle profită de faptul că clienții - browserele Web incluse - vor fi reduse la protocoalele mai vechi, mai puțin sigure, dacă nu este în măsură să stabilească o conexiune sigură. Nivelul de downgrade poate fi declanșat de glitch-uri de rețea precum și de atacatori activi.

"Deoarece un atacator de rețea poate provoca defecțiuni de conectare, poate declanșa utilizarea SSL 3.0 și apoi să exploateze această problemă", a scris Möller pe blogul echipei de securitate online Google marți după-amiază.

Poodle expune cookie-urile de sesiune. Atacatorii nu vor primi parola utilizatorului pentru conturi de e-mail sau alte servicii online, dar vor putea totuși să se autentifice ca utilizator, atât timp cât cookie-ul de sesiune este valabil. „Astfel, în timp ce vă aflați la Starbucks, un hacker de lângă dvs. va putea posta tweet-uri în contul dvs. de Twitter și vă va putea citi toate mesajele Gmail”, a declarat Robert Graham, de la Errata Security.

Prima linie de apărare

Atacul Poodle se bazează pe primul adversar care a instituit un atac din partea mijlocului pentru a prelua controlul conexiunii la internet a victimei. O modalitate de a face acest lucru este să configurați un punct de acces Wi-Fi dăunător într-o locație publică, cum ar fi un coffeeshop. Atacatorii trebuie să poată rula codul Javascript în browserul victimei.

"Este necesar ca cineva să fie un bărbat în mijloc pentru a exploata. Acest lucru înseamnă că probabil sunteți în siguranță de hackeri acasă, deși nu este în siguranță de NSA. Cu toate acestea, când la Starbucks local sau la alte Wi-Fi necriptate, sunt în pericol grav din cauza acestui hack ", a scris Graham.

Așadar, există deja câteva lucruri pe care le puteți face pentru a preveni succesele atacurilor Poodle. Așa cum am spus din nou, nu vă lăsați să vă accesați în rețelele publice Wi-Fi sau în rețelele de oaspeți operate de persoane pe care nu le cunoașteți. Chiar dacă nu ești îngrijorat de Poodle, atacurile omului în mijloc sunt grave și te protejezi fiind atent la ce rețele te conectezi.

Dacă trebuie să accesați o rețea publică, utilizați VPN, fie de la locul de muncă, fie de oricare dintre serviciile VPN disponibile. Există destul de multe, cum ar fi PrivateInternetAccess, CyberGhostVPN și Shield-ul HotSpot de la AnchorFree, pentru a numi câteva.

Atacanții îi vor păcăli probabil pe utilizatori să viziteze o pagină Web rău intenționată concepută pentru a executa cod Javascript special conceput. Fiți atenți la ce site-uri vizitați și fiți în căutarea site-urilor de phishing.

De ce mai avem SSL 3.0?

Majoritatea serverelor și aplicațiilor moderne folosesc TLS 1.1 sau 1.2, dar SSL 3.0 este încă utilizat pe scară largă pentru a susține aplicații și sisteme vechi. Internet Explorer 6 este un bun exemplu. În timp ce IE 6 nu este la fel de vizibil cum a fost, a rămas o perioadă lungă de timp, astfel încât un număr de servere și aplicații au fost create pentru a suporta SSL 3.0 împreună cu TLS mai sigur. Este posibil ca Netcraft să estimeze aproape 97 la sută dintre serverele SSL Web să fie vulnerabile.

„Ați putea să îl omori în majoritatea locurilor de azi”, a scris cercetătorul de securitate Troy Hunt, dar asta este doar o parte a problemei, deoarece există clienți care pot depinde de capacitatea de a reveni la SSL 3.0. Nu știm care sunt acestea, făcând companiile mai puțin dispuse să tragă doar mufa. De exemplu, au existat rapoarte pe Twitter că MetroTwit, un client popular Twitter pentru Windows, s-a bazat pe SSL 3.0 și a încetat să funcționeze după ce Twitter a dezactivat suportul SSL 3.0 marți seară (MetroTwit a lansat o corecție, apropo, deci ar trebui să vă actualizați clientul).

„Este incertitudinea care menține în viață aceste tehnologii de generație timpurie”, a spus Hunt.

Remediați problema browserului

Utilizați un browser web modern, compatibil cu standardele. Mozilla va dezactiva SSL 3.0 în mod implicit în următoarea versiune a Firefox, așteptată la 25 noiembrie, iar Google îl scapă de la Chrome. Safari activează SSL-ul, dar Apple nu trebuie să aibă în vedere planurile sale pentru browser. Microsoft a postat un aviz cu instrucțiuni privind dezactivarea SSL 3.0 de pe desktopurile și serverele Windows.

„Nu este nevoie să urăsc Microsoft, așa cum va face Internet Explorer 10 sau 11”, a spus Garve Hays, un arhitect de soluții cu NetIQ.

Puteți dezactiva manual SSL 3.0 în IE bifând caseta SSL 3.0 sub filele Advanced din meniul Opțiuni Internet. Utilizatorii Firefox ar trebui să acceseze aproximativ.config în browser și să schimbe valoarea pentru security.tls.version.min la 1. De asemenea, pot descărca un complement Mozilla pentru a dezactiva SSL 3.0. Utilizatorii Chrome care doresc să dezactiveze SSL 3.0 pot adăuga indicatorul liniei de comandă --ssl-version-min = tls1 în browser.

Utilizatorii de Safari vor trebui să aștepte o actualizare, ori de câte ori va veni. Răsturnarea temporară de Safari va reduce probabilitatea unui atac Poodle.

Când Microsoft a încetat să mai accepte Windows XP în aprilie, au existat în continuare blocaje care au susținut că nu văd un motiv pentru actualizarea la sistemul de operare. Dacă acei utilizatori utilizează în continuare Internet Explorer 6, vor începe să vadă că lucrurile se rup online. CloudFlare a dezactivat SSL 3.0 în mod implicit pentru toate site-urile pe care le găzduiește, inclusiv cele 2 milioane de site-uri care utilizează planul gratuit. Această decizie va afecta mai puțin de 1 la sută din tot traficul către site-urile sale, a spus Cloudflare. Multe companii sunt susceptibile să urmeze exemplul Twitter și să oprească suportul pe site-urile lor. Dacă utilizați în continuare IE 6 sau Windows XP, trebuie să faceți upgrade.

"Dacă executați IE 6 astăzi (da, mai există unele) și nu aveți de ales să faceți upgrade, din cauza„ motivelor ", sunteți umplut", a scris Hunt.

Păstrează poodle la îndemână, cu siguranță de internet de bază