Video: Međunarodna izložba pudli - Etno selo Tiganjica - Zrenjanin (Listopad 2024)
Vědci odhalili další závažnou zranitelnost v Secure Sockets Layer (SSL), která ovlivňuje způsob, jakým jsou naše informace a komunikace zabezpečeny online. Dobrou zprávou je, že můžete podniknout konkrétní kroky k blokování útoků využívajících tuto chybu.
Vědci společnosti Google Bodo Möller, Thai Duong a Krzysztof Kotowicz popsali podrobnosti útoku Padding Oracle On Downgraded Legacy Encryption (POODLE) v bezpečnostním doporučení zveřejněném na OpenSSL.org. Tato chyba zabezpečení je v protokolu SSL 3.0, který byl zaveden v roce 1996 a v roce 1999 byl nahrazen zabezpečením Transport Layer Security (TLS). Poodle využívá skutečnosti, že klienti - včetně webových prohlížečů - downgradují na starší, méně bezpečné protokoly, pokud Nelze navázat zabezpečené připojení. Downgrade může být spuštěn síťovými závadami i aktivními útočníky.
„Protože síťový útočník může způsobit selhání připojení, může spustit použití protokolu SSL 3.0 a poté tento problém zneužít, “ napsal Möller v úterý odpoledne na blogu týmu zabezpečení Google Online.
Pudl vystavuje cookies relace. Útočníci nezískají heslo uživatele k e-mailovým účtům nebo jiným online službám, ale budou se stále moci přihlásit jako uživatel, dokud bude platný soubor cookie relace. „Takže, když jste ve společnosti Starbucks, nějaký hacker vedle vás bude moci na vašem Twitteru zveřejňovat tweety a číst všechny vaše zprávy z Gmailu, “ řekl Robert Graham z Errata Security.
První obranná linie
Útok Poodle se spoléhá na to, že protivník nejprve zahájí útok typu člověk uprostřed, aby získal kontrolu nad internetovým připojením oběti. Jedním ze způsobů, jak toho dosáhnout, je nastavení škodlivého přístupového bodu Wi-Fi na veřejném místě, jako je kavárna. Útočníci musí být také schopni spustit Javascriptový kód v prohlížeči oběti.
„Aby někdo mohl vykořisťovat, vyžaduje, aby byl někdo prostředníkem. To znamená, že jste pravděpodobně v bezpečí před hackery doma, i když ne v bezpečí před NSA. Když však budete v místních Starbucks nebo jiných nešifrovaných Wi-Fi, jsou vážně ohroženi tímto hackem, “napsal Graham.
Takže již existuje několik věcí, které můžete udělat, abyste zabránili úspěšným útokům na pudl. Jak jsme říkali znovu a znovu, nemusíte chtít na veřejné Wi-Fi sítě nebo hostující sítě provozované lidmi, které neznáte. I když se nebojíte o Poodle, útoky typu „člověk uprostřed“ jsou vážné a vy se chráníte tím, že budete opatrní ohledně toho, k jakým sítím se připojujete.
Potřebujete-li se dostat do veřejné sítě, použijte VPN, ať už z vašeho pracoviště, nebo z některé z mnoha dostupných služeb VPN. Existuje jich několik, například PrivateInternetAccess, CyberGhostVPN a AnchorFree's HotSpot Shield.
Útočníci pravděpodobně uživatele podvedou k návštěvě škodlivé webové stránky určené ke spuštění speciálně vytvořeného kódu Javascript. Dávejte pozor na to, jaké weby navštěvujete, a sledujte phishingové weby.
Proč stále máme SSL 3.0?
Většina moderních serverů a aplikací používá TLS 1.1 nebo 1.2, ale SSL 3.0 je stále široce používán pro podporu starších aplikací a systémů. Internet Explorer 6 je jeden dobrý příklad. Přestože IE 6 není tak viditelný, jak tomu bývalo, viselo to docela dlouho, takže bylo postaveno mnoho serverů a aplikací pro podporu SSL 3.0 spolu s bezpečnější TLS. Netcraft odhaduje, že téměř 97 procent webových serverů SSL bude pravděpodobně zranitelných.
„Dalo by se to dnes na většině míst skoro zabít, “ napsal výzkumný pracovník v oblasti bezpečnosti Troy Hunt, ale to je jen část problému, protože tam jsou klienti, kteří mohou záviset na schopnosti vrátit se zpět k SSL 3.0. Nevíme, jaké jsou, takže společnosti jsou méně ochotné pouze vytáhnout zástrčku. Byly například zprávy Twitter, že MetroTwit, populární Twitter klient pro Windows, spoléhal na SSL 3.0 a přestal pracovat poté, co Twitter deaktivoval podporu SSL 3.0 v úterý večer (MetroTwit mimochodem vydala opravu hotfix, takže byste měli aktualizovat svého klienta).
"Je to nejistota, která udržuje tyto technologie rané generace naživu, " řekl Hunt.
Opravte problém s prohlížečem
Používejte moderní webový prohlížeč kompatibilní s normami. Mozilla ve výchozím nastavení zakáže protokol SSL 3.0 v příští verzi prohlížeče Firefox, očekávaného 25. listopadu, a společnost Google ji z prohlížeče Chrome čistí. Safari automaticky povoluje SSL, ale Apple musí ještě zvážit své plány pro prohlížeč. Společnost Microsoft zveřejnila doporučení s pokyny k deaktivaci SSL 3.0 ze stolních počítačů a serverů Windows.
„Není třeba nenávidět Microsoft, protože Internet Explorer 10 nebo 11 to udělá, “ řekl Garve Hays, architekt řešení s NetIQ.
Můžete ručně vypnout SSL 3.0 v IE zrušením zaškrtnutí políčka SSL 3.0 pod záložkami Upřesnit v nabídce Možnosti Internetu. Uživatelé prohlížeče Firefox by měli v prohlížeči přejít na soubor about.config a změnit hodnotu security.tls.version.min na 1. Mohou také stáhnout doplněk Mozilla a zakázat SSL 3.0. Uživatelé prohlížeče Chrome, kteří chtějí zakázat SSL 3.0, mohou do prohlížeče přidat příznak příkazového řádku --ssl-version-min = tls1 .
Uživatelé Safari budou muset kdykoli čekat na aktualizaci. Dočasné vypnutí Safari sníží pravděpodobnost útoku pudlů.
Když Microsoft v dubnu přestal podporovat systém Windows XP, stále existovaly výpary, které tvrdily, že nevidí důvod pro upgrade na operační systém. Pokud tito uživatelé stále používají Internet Explorer 6, začnou vidět, jak se věci rozbijí online. CloudFlare ve výchozím nastavení zakázal SSL 3.0 pro všechny weby, které hostuje, včetně 2 milionů webů, které využívají bezplatný plán. Toto rozhodnutí ovlivní méně než 1 procento veškerého provozu na jeho webech, uvedl Cloudflare. Mnoho společností pravděpodobně následuje příklad Twitteru a na svých stránkách vypne podporu. Pokud stále používáte IE 6 nebo Windows XP, musíte opravdu upgradovat.
„Pokud dnes používáte IE 6 (ano, stále existuje několik) a nemáte na výběr z upgradů, protože 'důvody', jste vycpaní, “ napsal Hunt.
