Видео: Евгений Онегин (Eugene Onegin) (Септември 2024)
Изследователите откриха още една сериозна уязвимост в слой за сигурни сокети (SSL), която влияе върху това как нашата информация и комуникации са защитени онлайн. Добрата новина е, че можете да предприемете конкретни стъпки, за да блокирате атаките, експлоатиращи този недостатък.
Изследователите от Google Бодо Мьолер, Тайланд Дюонг и Кшищоф Котович изложиха подробности за атаката на Padding Oracle On Downgraded Legacy Encryption (POODLE) в съветник по сигурността, публикуван на OpenSSL.org. Уязвимостта е в SSL 3.0, който беше представен през 1996 г. и е заменен от Security Layer Security (TLS) през 1999 г. Пудел се възползва от факта, че клиентите - включени уеб браузъри - ще преминат към по-старите, по-малко защитени протоколи, ако го не е в състояние да установи сигурна връзка. Понижаването може да бъде предизвикано от грешки в мрежата, както и от активни нападатели.
„Тъй като мрежовият хакер може да причини сривове в връзката, те могат да задействат използването на SSL 3.0 и след това да използват този проблем“, написа Мьолер в блога на екипа за сигурност на Google във вторник следобед.
Пудел излага бисквитки за сесия. Атакуващите няма да получат паролата на потребителя да изпраща имейл акаунти или други онлайн услуги, но все пак ще могат да влязат като потребител, докато сесийната бисквитка е валидна. „По този начин, докато сте в Starbucks, някой хакер до вас ще може да публикува туитове във вашия Twitter акаунт и да чете всичките ви съобщения в Gmail“, заяви Робърт Греъм от Errata Security.
Първа линия на отбрана
Атаката с пудел разчита на противника, като първо настрои атака човек в средата, за да вземе контрола върху интернет връзката на жертвата. Един от начините да направите това е да настроите злонамерена Wi-Fi точка за достъп на обществено място, като кафене. Нападателите също трябва да могат да пускат Javascript код в браузъра на жертвата.
"Изисква някой да бъде човек в средата, за да се експлоатира. Това означава, че вероятно сте в безопасност от хакери у дома, макар и да не сте в безопасност от NSA. Въпреки това, когато в местния Starbucks или друг незашифрован Wi-Fi, вие са в сериозна опасност от този хак ", написа Греъм.
Така че вече има няколко неща, които можете да направите, за да предотвратите успешните евентуални атаки на пудел. Както вече казахме отново и не веднъж, не пристъпвайте волно към обществени Wi-Fi мрежи или мрежи за гости, управлявани от хора, които не познавате. Дори и да не се притеснявате от Пудел, атаките на човек в средата са сериозни и се предпазвате, като внимавате към кои мрежи се свързвате.
Ако трябва да влезете в обществена мрежа, използвайте VPN, независимо дали от работното си място или от някоя от множеството налични VPN услуги. Има доста такива, като PrivateInternetAccess, CyberGhostVPN и HotSpot Shield от AnchorFree, за да назовем само няколко.
Нападателите вероятно ще подведат потребителите да посетят злонамерена уеб страница, предназначена за изпълнение на специално изработен Javascript код. Внимавайте какви сайтове посещавате и внимавайте за фишинг сайтове.
Защо все още имаме SSL 3.0?
Повечето съвременни сървъри и приложения използват TLS 1.1 или 1.2, но SSL 3.0 все още се използва широко, за да поддържа наследени приложения и системи. Internet Explorer 6 е един добър пример. Въпреки че IE 6 не е толкова видим, както беше, той висеше доста дълго време, така че бяха създадени доста сървъри и приложения, които поддържат SSL 3.0 заедно с по-сигурния TLS. Netcraft изчислява, че близо 97 процента от SSL уеб сървърите вероятно ще бъдат уязвими.
"Бихте могли да го убиете на повечето места днес", пише изследователят по сигурността Troy Hunt, но това е само част от проблема, тъй като има клиенти, които може да зависят от възможността да се върнете към SSL 3.0. Не знаем кои са те, което прави компаниите по-малко склонни да издърпат щепсела. Например имаше съобщения в Twitter, че MetroTwit, популярен Twitter клиент за Windows, разчита на SSL 3.0 и спря да работи, след като Twitter деактивира поддръжката на SSL 3.0 във вторник вечерта (MetroTwit пусна актуална корекция, между другото, така че трябва да актуализирате клиента си),
„Несигурността поддържа тези технологии от ранно поколение живи“, каза Хънт.
Поправете проблема с браузъра
Използвайте модерен уеб стандартен браузър. Mozilla ще деактивира SSL 3.0 по подразбиране в следващата версия на Firefox, която се очаква на 25 ноември, а Google я пречиства от Chrome. Safari автоматично активира SSL, но Apple все още не може да прецени плановете си за браузъра. Microsoft публикува консултация с инструкции за деактивиране на SSL 3.0 от настолни компютри и сървъри на Windows.
„Няма нужда да мразя Microsoft, както ще направи Internet Explorer 10 или 11“, казва Гарв Хейс, архитект на решения с NetIQ.
Можете ръчно да изключите SSL 3.0 в IE, като премахнете отметката в полето SSL 3.0 под раздели Advanced в менюто Internet Options. Потребителите на Firefox трябва да отидат на about.config в браузъра и да променят стойността за security.tls.version.min на 1. Те могат също да изтеглят добавка за Mozilla, за да деактивират SSL 3.0. Потребителите на Chrome, които искат да деактивират SSL 3.0, могат да добавят флаг на командния ред --ssl-version-min = tls1 към браузъра.
Потребителите на Safari ще трябва да чакат актуализация, когато и да се появи. Временно пребиваването извън Safari ще намали вероятността от нападение на Пудел.
Когато през април Microsoft спря да поддържа Windows XP, все още имаше задръжки, които твърдяха, че не виждат причина за надграждане до операционната система. Ако тези потребители все още използват Internet Explorer 6, те ще започнат да виждат, че нещата се разбиват онлайн. CloudFlare е деактивирал SSL 3.0 по подразбиране за всички сайтове, които хоства, включително 2 милиона сайтове, които използват безплатния план. Това решение ще засегне по-малко от 1% от целия трафик към сайтовете му, заяви Cloudflare. Много компании вероятно ще последват примера на Twitter и ще изключат поддръжката на своите сайтове. Ако все още използвате IE 6 или Windows XP, наистина трябва да надстроите.
"Ако днес използвате IE 6 (да, все още има някои) и нямате избор за надграждане, тъй като" причини ", вие сте пълни", пише Хънт.
