Video: Trimming Peppy, Miniature Poodle (Lokakuu 2024)
Tutkijat ovat paljastaneet toisen vakavan haavoittuvuuden Secure Sockets Layerissa (SSL), joka vaikuttaa siihen, kuinka tietomme ja tietoliikenteemme suojataan verkossa. Hyvä uutinen on, että voit ryhtyä erityisiin toimiin estääksesi tätä virhettä hyödyntäviä hyökkäyksiä.
Google-tutkijat Bodo Möller, Thai Duong ja Krzysztof Kotowicz hahmottivat Padding Oracle On Downgraded Legacy Encryption (POODLE) -hyökkäyksen yksityiskohtia OpenSSL.org-sivulla julkaistussa turvallisuusohjeessa. Haavoittuvuus on SSL 3.0: ssa, joka otettiin käyttöön vuonna 1996 ja korvattiin TLS: llä (Transport Layer Security, TLS) vuonna 1999. Puudelma hyödyntää sitä, että asiakkaat - mukaan lukien Web-selaimet - päivittävät vanhemmat, vähemmän turvalliset protokollat, jos se ei pysty muodostamaan suojattua yhteyttä. Alemman tason voi laukaista verkon häiriöt sekä aktiiviset hyökkääjät.
"Koska verkkohyökkääjä voi aiheuttaa yhteyshäiriöitä, se voi käynnistää SSL 3.0: n käytön ja hyödyntää tätä ongelmaa", Möller kirjoitti Google Online Security Team -blogissa tiistaina iltapäivällä.
Villakoira paljastaa istuntoevästeet. Hyökkääjät eivät saa käyttäjän salasanaa sähköpostitileihin tai muihin verkkopalveluihin, mutta voivat silti kirjautua sisään käyttäjänä niin kauan kuin istuntoeväste on kelvollinen. "Niin kauan kuin olet Starbucksissa, jotkut vieressä olevat hakkerit voivat lähettää twiitit Twitter-tiliisi ja lukea kaikki Gmail-viestit", sanoi Errata Securityn Robert Graham.
Ensimmäinen puolustuslinja
Villakoirahyökkäys perustuu siihen, että vastustaja asettaa ensin keskitason miehen hyökkäyksen tarttuakseen uhrin Internet-yhteyteen. Yksi tapa tehdä tämä on perustaa haitalliset Wi-Fi-tukiasemat julkiseen sijaintiin, kuten kahvila. Hyökkääjien on myös pystyttävä ajamaan Javascript-koodia uhrin selaimessa.
"Se vaatii jonkun olevan keskimäärin ihminen hyväksikäyttöön. Tämä tarkoittaa, että olet todennäköisesti turvassa hakkereilta kotona, vaikka et ole turvassa NSA: lta. Kun olet paikalla Starbucksissa tai muussa salaamattomassa Wi-Fi: ssä, sinä et ovat vakavassa vaarassa tästä hakkeroinnista ", Graham kirjoitti.
Joten on jo olemassa joitain asioita, joita voit tehdä estääksesi Villakoiran hyökkäykset onnistumasta. Kuten olemme toistuvasti sanoneet, älä hyppää täysin tyhjiin julkisiin Wi-Fi-verkkoihin tai vierasverkkoihin, joita hallitsevat ihmiset. Vaikka et ole huolissasi Villakoirasta, keskellä olevat ihmisten hyökkäykset ovat vakavia ja suojaat itseäsi varovaisesti verkkoihin, joihin yhdistät.
Jos haluat päästä julkiseen verkkoon, käytä VPN: tä joko työpaikallasi tai jollain monista käytettävissä olevista VPN-palveluista. Siellä on melko vähän, kuten PrivateInternetAccess, CyberGhostVPN ja AnchorFree's HotSpot Shield, mainitakseni muutama.
Hyökkääjät todennäköisesti huijaavat käyttäjiä vierailemaan vahingollisella verkkosivulla, joka on suunniteltu suorittamaan erityisesti muotoillun Javascriptin koodi. Ole varovainen käytetyissä sivustoissa ja etsiesi tietojenkalastelusivustoja.
Miksi meillä on edelleen SSL 3.0?
Useimmat nykyaikaiset palvelimet ja sovellukset käyttävät TLS 1.1 tai 1.2, mutta SSL 3.0: ta käytetään edelleen laajasti vanhojen sovellusten ja järjestelmien tukemiseen. Internet Explorer 6 on yksi hyvä esimerkki. Vaikka IE 6 ei ole niin näkyvä kuin ennen, se ripusteli jo melko pitkään, joten rakennettiin melkoinen joukko palvelimia ja sovelluksia tukemaan SSL 3.0: ta yhdessä turvallisempien TLS: ien kanssa. Netcraft arvioi, että lähes 97 prosenttia SSL-verkkopalvelimista on todennäköisesti haavoittuvia.
"Voisit melkein tappaa sen useimmissa paikoissa", turvallisuustutkija Troy Hunt kirjoitti, mutta se on vain osa ongelmaa, koska siellä on asiakkaita, jotka saattavat riippua kyvystä palata takaisin SSL 3.0: een. Emme tiedä, mitkä he ovat, jolloin yritykset eivät halua vain vetää pistoketta. Esimerkiksi, oli Twitter-raportteja, että MetroTwit, suosittu Windows-asiakasohjelma, luottaa SSL 3.0: een ja lopetti toimintansa sen jälkeen, kun Twitter on poistanut SSL 3.0 -tuen tiistaina iltana (MetroTwit on muuten julkaissut hotfix-korjauksen, joten sinun tulisi päivittää asiakas).
"Epävarmuus pitää nämä varhaisen sukupolven tekniikat hengissä", sanoi Hunt.
Korjaa selainongelma
Käytä nykyaikaista, standardien mukaista Web-selainta. Mozilla poistaa SSL 3.0: n oletuksena käytöstä seuraavassa Firefox-versiossa, jonka odotetaan tulevan 25. marraskuuta, ja Google pesee sitä Chromesta. Safari ottaa automaattisen SSL-yhteyden käyttöön, mutta Apple ei ole vielä punninnut suunnitelmiaan selainta varten. Microsoft lähetti ohjeen SSL 3.0: n käytöstä poistamisesta Windowsin työasemilta ja palvelimilta.
"Ei tarvitse vihata Microsofttia, kuten Internet Explorer 10 tai 11 tekee", kertoi NetIQ: n ratkaisuarkkitehti Garve Hays.
Voit kytkeä SSL 3.0: n pois käytöstä IE: ssä manuaalisesti poistamalla valinta SSL 3.0 -ruudun Lisäasetukset-välilehdistä Internet-asetukset-valikossa. Firefox-käyttäjien tulee siirtyä osoitteeseen about.config ja vaihtaa security.tls.version.min arvoksi 1. He voivat myös ladata Mozilla-lisäosan SSL 3.0: n poistamiseksi käytöstä. Chromen käyttäjät, jotka haluavat poistaa SSL 3.0: n käytöstä, voivat lisätä selaimeen komentorivilipun --ssl-version-min = tls1 .
Safarin käyttäjien on odotettava päivitystä aina, kun se tulee. Tilapäisesti poistuminen Safarilta vähentää villakoiran hyökkäyksen todennäköisyyttä.
Kun Microsoft lopetti Windows XP: n tukemisen takaisin huhtikuussa, edelleen oli pidätyksiä, jotka väittivät, ettei näe syytä päivitykseen käyttöjärjestelmään. Jos nämä käyttäjät käyttävät edelleen Internet Explorer 6: ta, he alkavat nähdä asioiden rikkovan verkossa. CloudFlare on poistanut SSL 3.0: n oletusarvoisesti kaikista ylläpitämistään sivustoista, mukaan lukien 2 miljoonaa sivustoa, jotka käyttävät ilmaista suunnitelmaa. Tämä päätös vaikuttaa alle prosenttiin koko sivustojensa liikenteestä, Cloudflare sanoi. Monet yritykset seuraavat todennäköisesti Twitterin esimerkkiä ja sulkevat tuen pois sivustoltaan. Jos käytät edelleen IE 6 tai Windows XP, sinun on todella päivitettävä.
"Jos käytät IE 6: ta tänään (kyllä, joitain on vielä) ja et voi valita päivitystä, koska" syyt ", olet täynnä", Hunt kirjoitti.
