Video: Agility - Jumping - Small Dogs Winner Crufts 2013 (Septembra 2024)
Vedci odhalili ďalšiu závažnú zraniteľnosť v protokole Secure Sockets Layer (SSL), ktorý ovplyvňuje spôsob zabezpečenia našich informácií a komunikácie online. Dobrou správou je, že môžete podniknúť konkrétne kroky na zablokovanie útokov, ktoré zneužívajú túto chybu.
Vedci spoločnosti Google Bodo Möller, Thai Duong a Krzysztof Kotowicz načrtli podrobnosti o útoku Padding Oracle On Downgraded Legacy Encryption (POODLE) v bezpečnostnom odporúčaní zverejnenom na OpenSSL.org. Táto chyba zabezpečenia je v protokole SSL 3.0, ktorý bol zavedený v roku 1996 a bol nahradený produktom Transport Layer Security (TLS) v roku 1999. Poodle využíva skutočnosť, že klienti - vrátane webových prehliadačov - prejdú na staršie, menej bezpečné protokoly, ak sa tak stane. nemôže nadviazať bezpečné pripojenie. Downgrade môžu byť spustené sieťovými poruchami, ako aj aktívnymi útočníkmi.
„Pretože sieťový útočník môže spôsobiť zlyhanie pripojenia, môže spustiť používanie protokolu SSL 3.0 a potom tento problém zneužiť, “ napísal Möller v utorok popoludní na blog tímu zabezpečenia Google Online.
Poodle odhaľuje súbory cookie relácie. Útočníci nezískajú heslo používateľa k e-mailovým účtom alebo iným online službám, ale budú sa stále môcť prihlásiť ako používateľ, pokiaľ bude platný súbor cookie relácie. „Zatiaľ čo ste v spoločnosti Starbucks, niektorí hackeri vedľa vás budú môcť uverejňovať tweety na vašom Twitterovom účte a čítať všetky vaše správy v Gmaile, “ uviedol Robert Graham z Errata Security.
Prvá obranná línia
Útok Poodle sa spolieha na to, že protivník najskôr nastavil útok typu človek v strede, aby získal kontrolu nad internetovým pripojením obete. Jedným zo spôsobov, ako to dosiahnuť, je zriadenie škodlivého prístupového bodu Wi-Fi na verejnom mieste, napríklad v kaviarni. Útočníci musia mať tiež možnosť spustiť kód Javascript v prehliadači obete.
„Vyžaduje si to od niekoho, kto musí byť človekom v strede, aby ho mohol vykorisťovať. To znamená, že ste pravdepodobne v bezpečí pred hackermi doma, aj keď nie sú v bezpečí pred NSA. Keď však budete v miestnych sieťach Starbucks alebo iných nekódovaných sieťach Wi-Fi, sú vážne ohrozené týmto hackom, “napísal Graham.
Takže už existuje niekoľko vecí, ktoré môžu zabrániť tomu, aby potenciálne pudlové útoky uspeli. Ako sme znova a znova povedali, nechcem nechcú ísť do verejných sietí Wi-Fi alebo do hosťovských sietí prevádzkovaných ľuďmi, ktorých nepoznáte. Aj keď sa neobávate Poodle, útoky typu človek v strede sú vážne a vy sa chránite tým, že budete opatrní pri výbere sietí, ku ktorým sa pripájate.
Ak sa potrebujete dostať do verejnej siete, použite sieť VPN, či už z vášho pracoviska alebo z ktorejkoľvek z mnohých dostupných služieb VPN. Existuje ich niekoľko, napríklad PrivateInternetAccess, CyberGhostVPN a AnchorFree HotSpot Shield.
Útočníci pravdepodobne podvedú používateľov, aby navštívili škodlivú webovú stránku navrhnutú na vykonanie špeciálne vytvoreného kódu Javascript. Dávajte pozor na to, ktoré stránky navštevujete, a sledujte phishingové stránky.
Prečo stále máme protokol SSL 3.0?
Väčšina moderných serverov a aplikácií používa TLS 1.1 alebo 1.2, ale SSL 3.0 sa stále používa na podporu starších aplikácií a systémov. Internet Explorer 6 je dobrým príkladom. Aj keď IE 6 nie je tak viditeľné, ako to bývalo, viselo to dosť dlho, takže bolo postavených dosť serverov a aplikácií na podporu SSL 3.0 spolu s bezpečnejšími TLS. Spoločnosť Netcraft odhaduje, že takmer 97 percent webových serverov SSL bude pravdepodobne zraniteľných.
„Dalo by sa to dnes na väčšine miest zabiť, “ napísal výskumný pracovník v oblasti bezpečnosti Troy Hunt, ale to je len časť problému, pretože tam sú klienti, ktorí môžu závisieť od schopnosti vrátiť sa k SSL 3.0. Nevieme, ktoré sú, takže spoločnosti sú menej ochotné iba vytiahnuť zástrčku. Napríklad boli hlásenia Twitter, že MetroTwit, populárny klient Twitter pre Windows, sa spoliehal na SSL 3.0 a prestal pracovať po tom, ako Twitter zakázal podporu SSL 3.0 v utorok večer (MetroTwit mimochodom vydala opravu hotfix, takže by ste mali aktualizovať svojho klienta),
„Je to neistota, ktorá udržuje tieto technológie ranej generácie nažive, “ povedal Hunt.
Opravte problém s prehliadačom
Používajte moderný webový prehliadač kompatibilný s normami. Mozilla predvolene zakáže protokol SSL 3.0 v nasledujúcej verzii prehliadača Firefox, očakávanej 25. novembra, a spoločnosť Google ho vymaže z prehliadača Chrome. Safari automaticky povoľuje SSL, ale Apple ešte musí zvážiť svoje plány prehliadača. Spoločnosť Microsoft uverejnila odporúčanie s pokynmi na vypnutie SSL 3.0 zo stolových počítačov a serverov Windows.
„Netreba nenávidieť Microsoft, ako to urobí Internet Explorer 10 alebo 11, “ povedal Garve Hays, architekt riešení s NetIQ.
Protokol SSL 3.0 môžete v prehliadači IE vypnúť ručne zrušením začiarknutia políčka SSL 3.0 na karte Spresnenie v ponuke Možnosti siete Internet. Používatelia prehliadača Firefox by mali v prehliadači prejsť na stránku about.config a zmeniť hodnotu security.tls.version.min na 1. Môžu tiež stiahnuť doplnok Mozilla a vypnúť SSL 3.0. Používatelia prehliadača Chrome, ktorí chcú zakázať SSL 3.0, môžu do prehliadača pridať príznak príkazového riadku --ssl-version-min = tls1 .
Používatelia Safari budú musieť počkať na aktualizáciu, kedykoľvek príde. Dočasné zastavenie používania Safari zníži pravdepodobnosť útoku Pudla.
Keď spoločnosť Microsoft v apríli zastavila podporu systému Windows XP, stále existovali zdržania, ktoré tvrdili, že nevidia dôvod na inováciu na operačný systém. Ak títo používatelia stále používajú program Internet Explorer 6, začnú vidieť online veci. CloudFlare v predvolenom nastavení zakázala SSL 3.0 pre všetky stránky, ktoré hostuje, vrátane 2 miliónov stránok, ktoré využívajú bezplatný program. Toto rozhodnutie ovplyvní menej ako 1 percento celej návštevnosti jeho webov, uviedla spoločnosť Cloudflare. Mnoho spoločností bude pravdepodobne nasledovať príklad Twitteru a vypne podporu na svojich stránkach. Ak stále používate IE 6 alebo Windows XP, je potrebné aktualizovať.
„Ak dnes používate IE 6 (áno, stále existuje niekoľko) a nemáte na výber z dôvodu inovácií, máte plnú úlohu, “ napísal Hunt.
