Video: This Possessive Poodle Controls the Entire House | It's Me or the Dog (Oktober 2024)
Forskere har afsløret en anden alvorlig sårbarhed i Secure Sockets Layer (SSL), som påvirker, hvordan vores oplysninger og kommunikation er sikret online. Den gode nyhed er, at du kan tage specifikke skridt for at blokere angreb, der udnytter denne fejl.
Google-forskere Bodo Möller, Thai Duong og Krzysztof Kotowicz skitserede detaljerne om Padding Oracle On Downgraded Legacy Encryption (POODLE) angreb i en sikkerhedsanvisning, der blev offentliggjort på OpenSSL.org. Sårbarheden er i SSL 3.0, der blev introduceret i 1996 og erstattet af Transport Layer Security (TLS) i 1999. Poodle drager fordel af det faktum, at klienter - inkluderede webbrowsere - nedjusteres til de ældre, mindre sikre protokoller, hvis det kan ikke etablere en sikker forbindelse. Nedgraderingen kan udløses af netværksfejl såvel som aktive angribere.
"Fordi en netværksangreb kan forårsage forbindelsesfejl, kan de udløse brugen af SSL 3.0 og derefter udnytte dette problem, " skrev Möller i Google Online Security Team-blog tirsdag eftermiddag.
Poodle afslører session cookies. Angriberen får ikke brugerens adgangskode til e-mail-konti eller andre onlinetjenester, men vil stadig være i stand til at logge ind som bruger, så længe session cookie er gyldig. "Således, mens du er i Starbucks, vil en hacker ved siden af dig være i stand til at sende tweets på din Twitter-konto og læse alle dine Gmail-meddelelser, " sagde Errata Security's Robert Graham.
Første forsvarslinje
Poodle-angrebet er afhængig af, at modstanderen først oprettede et mand-i-midten-angreb for at få kontrol over offerets internetforbindelse. En måde at gøre det på er at oprette et ondsindet Wi-Fi-adgangspunkt på et offentligt sted, f.eks. En kaffebar. Angribere skal også være i stand til at køre Javascript-kode i offerets browser.
"Det kræver, at nogen er en mand-i-midten for at udnytte. Det betyder, at du sandsynligvis er sikker mod hackere derhjemme, dog ikke sikkert fra NSA. Men når du er i den lokale Starbucks eller anden ikke-krypteret Wi-Fi, er i alvorlig fare fra dette hack, ”skrev Graham.
Så der er allerede nogle få ting, du kan gøre for at forhindre, at potentielle Poodle-angreb lykkes. Som vi sagde gang på gang, hopp ikke med vilje til offentlige Wi-Fi-netværk eller gæstenetværk, der drives af folk, som du ikke kender. Selv hvis du ikke er bekymret for Poodle, er angreb mellem mennesker i midten alvorlige, og du beskytter dig selv ved at være forsigtig med, hvilke netværk du opretter forbindelse til.
Hvis du har brug for at komme på et offentligt netværk, skal du bruge VPN, hvad enten det er fra din arbejdsplads eller en af de mange tilgængelige VPN-tjenester. Der er ganske mange derude, såsom PrivateInternetAccess, CyberGhostVPN og AnchorFree's HotSpot Shield, for at nævne nogle få.
Angribere vil sandsynligvis narre brugerne til at besøge en ondsindet webside designet til at udføre specielt udformet Javascript-kode. Vær forsigtig med, hvilke websteder du besøger, og se efter phishing-websteder.
Hvorfor har vi stadig SSL 3.0?
De fleste moderne servere og applikationer bruger TLS 1.1 eller 1.2, men SSL 3.0 bruges stadig i vid udstrækning til at understøtte ældre applikationer og systemer. Internet Explorer 6 er et godt eksempel. Mens IE 6 ikke er så synlig, som den plejede at være, hang den rundt i ret lang tid, så der blev bygget et stort antal servere og applikationer til at understøtte SSL 3.0 sammen med de mere sikre TLS. Netcraft anslår næsten 97 procent af SSL-webservere sandsynligvis at være sårbare.
"Du kan stort set dræbe det de fleste steder i dag, " skrev sikkerhedsforsker Troy Hunt, men det er kun en del af problemet, da der er klienter derude, der kan afhænge af evnen til at falde tilbage til SSL 3.0. Vi ved ikke, hvilke der er, hvilket gør virksomheder mindre villige til bare at trække i stikket. Der var for eksempel Twitter-rapporter om, at MetroTwit, en populær Twitter-klient til Windows, stod på SSL 3.0 og stoppede med at arbejde, efter at Twitter deaktiverede SSL 3.0-støtte tirsdag aften (MetroTwit har forresten frigivet en hotfix, så du skal opdatere din klient).
"Det er usikkerheden, der holder disse tidlige generations teknologier i live, " sagde Hunt.
Løs browserproblemet
Brug en moderne webbrowser, der er kompatibel med standarder. Mozilla deaktiverer SSL 3.0 som standard i den næste version af Firefox, der forventes 25. november, og Google skrubber det fra Chrome. Safari aktiverer SSL automatisk, men Apple har endnu ikke tænkt på sine planer for browseren. Microsoft sendte en vejledning med instruktioner om deaktivering af SSL 3.0 fra Windows desktops og servere.
"Ingen grund til at hate på Microsoft, som Internet Explorer 10 eller 11 vil gøre, " sagde Garve Hays, en løsningsarkitekt med NetIQ.
Du kan manuelt slukke for SSL 3.0 i IE ved at fjerne markeringen i SSL 3.0-boksen under fanerne Avanceret i menuen Internetindstillinger. Firefox-brugere skal gå til about.config i browseren og ændre værdien for security.tls.version.min til 1. De kan også downloade en Mozilla-tilføjelse for at deaktivere SSL 3.0. Chrome-brugere, der vil deaktivere SSL 3.0, kan tilføje kommandolinjeflagget - ssl-version-min = tls1 til browseren.
Safari-brugere bliver nødt til at vente på en opdatering, når det kommer. Hvis du midlertidigt er væk fra Safari, reduceres sandsynligheden for et Poodle-angreb.
Da Microsoft stoppede med at støtte Windows XP tilbage i april, var der stadig holdouts, der hævdede, at de ikke så en grund til opgradering til operativsystemet. Hvis disse brugere stadig bruger Internet Explorer 6, vil de begynde at se ting bryde online. CloudFlare har som standard deaktiveret SSL 3.0 for alle de websteder, det er vært, inklusive de 2 millioner websteder, der bruger den gratis plan. Denne beslutning vil påvirke mindre end 1 procent af al trafik til dens websteder, siger Cloudflare. Mange virksomheder følger sandsynligvis Twitters eksempel og slukker support på deres websteder. Hvis du stadig bruger IE 6 eller Windows XP, skal du virkelig opgradere.
"Hvis du kører IE 6 i dag (ja, der er stadig nogle), og du har ikke et valg i at opgradere, fordi 'grunde', er du proppet, " skrev Hunt.
