Videó: Grupo Financiero Galicia ($GGAL) - ¿Momento de entrar? (November 2024)
A kutatók felfedezték a Secure Sockets Layer (SSL) egy másik súlyos sebezhetőségét, amely befolyásolja az információink és kommunikációnk online biztonságát. A jó hír az, hogy megteheti a konkrét lépéseket a támadást kihasználó támadások megakadályozására.
A Google kutatói, Bodo Möller, Thai Duong és Krzysztof Kotowicz az OpenSSL.org oldalán közzétett biztonsági tanácsadásban ismertették a Padding Oracle On Downgraded Legacy Encryption (POODLE) támadás részleteit. A biztonsági rés az 1996-ban bevezetett SSL 3.0-ban található, amelyet 1999-ben a Transport Layer Security (TLS) váltott fel. A uszkár kihasználja azt a tényt, hogy az ügyfelek - ideértve a webböngészőket is - régebbi, kevésbé biztonságos protokollokra kerülnek, ha az nem tud biztonságos kapcsolatot létesíteni. A leminősítést hálózati hibák és aktív támadók válthatják ki.
"Mivel egy hálózati támadó kapcsolat meghibásodást okozhat, akkor kiválthatja az SSL 3.0 használatát, majd kihasználhatja ezt a problémát" - írta Möller a Google Online Security Team blogjában kedden délután.
Uszkár nyitja meg a munkamenet sütiket. A támadók nem kapják meg a felhasználó jelszavát e-mail fiókokhoz vagy más online szolgáltatásokhoz, de továbbra is képesek lesznek bejelentkezni felhasználóként, amíg a munkamenet cookie érvényes. "Tehát, amíg a Starbucks-nál tartózkodik, néhány mellette lévő hacker tweeteket küldhet Twitter-fiókjába, és elolvashatja az összes Gmail-üzenetet" - mondta Robert Graham, az Errata Security munkatársa.
Első védelmi vonal
Az uszkár-támadás az ellenfél először egy középtávú támadást állít fel, hogy megragadja az áldozat internetes kapcsolatát. Ennek egyik módja egy rosszindulatú Wi-Fi hozzáférési pont beállítása egy nyilvános helyen, például egy kávézóban. A támadóknak képesnek kell lenniük arra is, hogy futtassák a Javascript kódot az áldozat böngészőjében.
"A kizsákmányoláshoz valakinek középbarátnak kell lennie. Ez azt jelenti, hogy valószínűleg biztonságban van otthon a hackerekkel szemben, bár nem biztonságos az NSA-tól. Ha azonban a helyi Starbucks-on vagy más titkosítatlan Wi-Fi-nál van, súlyos veszélyben vannak e hackelás miatt "- írta Graham.
Tehát már van néhány dolog, amit megtehetsz az esetleges uszkár támadások sikerének megakadályozása érdekében. Mint újra és újra elmondtuk, ne aggódjon teljesen nyilvános Wi-Fi hálózatokon vagy vendéghálózatokon, amelyeket olyan emberek üzemeltetnek, akiket nem ismersz. Még ha nem is aggódik a uszkár miatt, a középtávú támadások súlyosak, és óvja magát azáltal, hogy vigyázzon arra, hogy milyen hálózatokhoz csatlakozik.
Ha nyilvános hálózatra van szüksége, használja a VPN-t, akár a munkahelyén, akár a rendelkezésre álló sok VPN-szolgáltatás közül. Nagyon kevés ott van, mint például a PrivateInternetAccess, a CyberGhostVPN és az AnchorFree HotSpot Shield, néhányat említve.
A támadók valószínűleg becsapják a felhasználókat egy rosszindulatú weboldal felkeresésére, amelynek célja a kifejezetten kialakított Javascript kód végrehajtása. Legyen óvatos a meglátogatott webhelyeken, és figyeljen az adathalász webhelyekre.
Miért van még SSL 3.0?
A legtöbb modern kiszolgáló és alkalmazás TLS 1.1 vagy 1.2 rendszert használ, de az SSL 3.0-at még mindig széles körben használják a régi alkalmazások és rendszerek támogatására. Az Internet Explorer 6 egy jó példa. Noha az IE 6 nem volt olyan látható, mint régen, elég hosszú ideig lógott körül, így sok szerver és alkalmazás épült az SSL 3.0 támogatására, a biztonságosabb TLS mellett. A Netcraft becslése szerint az SSL webszerverek közel 97 százaléka sebezhető.
"Ma a legtöbb helyen nagyon meg tudná ölni" - írta Troy Hunt biztonsági kutató, de ez csak a probléma egyik része, mivel vannak olyan ügyfelek, akik függhetnek az SSL 3.0-ra való visszatérés képességétől. Nem tudjuk, melyek ezek, így a vállalatok kevésbé hajlandóak csak a dugót húzni. Például vannak olyan Twitter-beszámolók, amelyek szerint a MetroTwit, a Windows egyik népszerű Twitter kliense az SSL 3.0-on támaszkodott és az SSL 3.0 támogatása után a Twitter kedden este letiltotta a működést (a MetroTwit egyébként kiadott egy gyorsjavítást, így frissítenie kell az ügyfelet)..
"A bizonytalanság élteti ezeket a korai generációs technológiákat" - mondta Hunt.
Javítsa ki a böngésző problémáját
Használjon modern, szabványoknak megfelelő webböngészőt. A Mozilla alapértelmezés szerint letiltja az SSL 3.0 használatát a Firefox következő verziójában, amely várhatóan november 25-én lesz, és a Google a Chrome-ból eltávolítja. A Safari automatikusan engedélyezi az SSL-t, de az Apple még nem mérlegelte a böngészőre vonatkozó terveit. A Microsoft tanácsot adott közzé, amely letiltja az SSL 3.0 használatát a Windows asztali és kiszolgálóin.
"Nem kell gyűlölni a Microsoftot, ahogyan ezt az Internet Explorer 10 vagy 11 fogja tenni" - mondta Garve Hays, a NetIQ megoldás-tervezője.
Manuálisan kikapcsolhatja az SSL 3.0-t az IE-ben, ha törli az SSL 3.0 négyzet bejelölését az Internetbeállítások menü Speciális lapok alatt. A Firefox felhasználóknak menjen a about.config oldalra a böngészőn, és a security.tls.version.min értékét 1-re változtassák. Letölthetnek egy Mozilla kiegészítőt az SSL 3.0 letiltásához. Azok az Chrome-felhasználók, akik le szeretnék tiltani az SSL 3.0-t, hozzáadhatják a böngészőbe a --ssl-version-min = tls1 parancssori zászlót.
A Safari-felhasználóknak minden alkalommal meg kell várniuk a frissítést. A Safari-tól ideiglenesen távol tartva csökken az uszkár támadás valószínűsége.
Amikor a Microsoft áprilisban abbahagyta a Windows XP támogatását, még mindig voltak visszatartások, akik azt állították, hogy nem látják okot az operációs rendszerre való frissítésre. Ha ezek a felhasználók továbbra is az Internet Explorer 6-at használják, akkor látni fogják, hogy a dolgok online megszakadnak. A CloudFlare alapértelmezés szerint letiltotta az SSL 3.0-t az összes üzemeltetett webhelyen, ideértve a 2 millió webhelyet, amelyek ingyenes tervet használnak. Ez a döntés a webhelyére irányuló teljes forgalom kevesebb, mint 1% -át érinti - mondta Cloudflare. Sok vállalat valószínűleg követi a Twitter példáját, és kikapcsolja a támogatást webhelyein. Ha továbbra is IE 6 vagy Windows XP rendszert használ, akkor valóban frissítenie kell.
"Ha ma ma IE 6-at futtat (igen, vannak még néhány), és nincs lehetősége választani a frissítésre, mert" okok miatt "meg van töltve" - írta Hunt.
