Video: Dog Show Grooming: How to Groom a Poodle Puppy (Oktober 2024)
Forskere har avdekket en annen alvorlig sårbarhet i Secure Sockets Layer (SSL) som påvirker hvordan informasjonen og kommunikasjonen vår er sikret online. Den gode nyheten er at du kan ta konkrete skritt for å blokkere angrep som utnytter denne feilen.
Google-forskere Bodo Möller, Thai Duong og Krzysztof Kotowicz redegjorde for detaljene om angrep på Oracle On Downgraded Legacy Encryption (POODLE) i et sikkerhetsrådgivning publisert på OpenSSL.org. Sårbarheten er i SSL 3.0, som ble introdusert i 1996, og erstattet av Transport Layer Security (TLS) i 1999. Poodle drar fordel av det faktum at klienter - nettlesere inkludert - vil nedgradere til de eldre, mindre sikre, protokollene hvis det kan ikke etablere en sikker forbindelse. Nedgraderingen kan utløses av nettverksfeil, så vel som aktive angripere.
"Fordi en nettverksangriper kan forårsake feil i tilkoblingen, kan de utløse bruken av SSL 3.0 og deretter utnytte dette problemet, " skrev Möller i bloggen til Google Online Security Team tirsdag ettermiddag.
Poodle avslører øktkaker. Angriperne vil ikke få brukerens passord til e-postkontoer eller andre online tjenester, men vil fortsatt kunne logge inn som bruker så lenge øktkaken er gyldig. "Så mens du er på Starbucks, vil noen hacker ved siden av deg kunne legge ut tweets på Twitter-kontoen din og lese alle Gmail-meldingene dine, " sa Robert Graham fra Errata Security.
Første forsvarslinje
Poodle-angrepet er avhengig av at motstanderen først opprettet et mann-i-midten-angrep for å ta kontroll over offerets internettforbindelse. En måte å gjøre det på er å sette opp et ondsinnet Wi-Fi-tilgangspunkt på et offentlig sted, for eksempel en kaffesalg. Angripere må også kunne kjøre Javascript-kode i offerets nettleser.
"Det krever at noen er en mann i midten for å utnytte. Dette betyr at du sannsynligvis er trygg mot hackere hjemme, men ikke trygg fra NSA. Når du er på den lokale Starbucks eller andre ikke-kryptert Wi-Fi, er i alvorlig fare fra dette hacket, ”skrev Graham.
Så det er allerede noen få ting du kan gjøre for å forhindre at potensielle Poodle-angrep lykkes. Som vi har sagt gang på gang, ikke hopp på offentlig Wi-Fi-nettverk eller gjestenettverk som drives av folk du ikke kjenner. Selv om du ikke er bekymret for Poodle, er angrep på midten av mennesker alvorlige, og du beskytter deg selv ved å være forsiktig med hvilke nettverk du kobler til.
Hvis du trenger å komme på et offentlig nettverk, kan du bruke VPN, enten du er fra arbeidsplassen din eller noen av de mange tilgjengelige VPN-tjenestene. Det er ganske mange der ute, som PrivateInternetAccess, CyberGhostVPN, og AnchorFree's HotSpot Shield, for å nevne noen.
Angripere vil sannsynligvis lure brukere til å besøke en ondsinnet webside designet for å utføre spesiallaget Javascript-kode. Vær forsiktig med hvilke nettsteder du besøker, og se etter phishing-nettsteder.
Hvorfor har vi fortsatt SSL 3.0?
De fleste moderne servere og applikasjoner bruker TLS 1.1 eller 1.2, men SSL 3.0 er fremdeles mye brukt for å støtte eldre applikasjoner og systemer. Internet Explorer 6 er ett godt eksempel. Selv om IE 6 ikke er så synlig som det pleide å være, hang den rundt i ganske lang tid, så ganske mange servere og applikasjoner ble bygget for å støtte SSL 3.0 sammen med de sikrere TLS. Netcraft anslår nesten 97 prosent av SSL-webservere sannsynligvis å være sårbare.
"Du kan stort sett drepe det de fleste steder i dag, " skrev sikkerhetsforsker Troy Hunt, men det er bare en del av problemet ettersom det er klienter der ute som kan avhenge av evnen til å falle tilbake til SSL 3.0. Vi vet ikke hvilke de er, noe som gjør selskaper mindre villige til å bare trekke pluggen. Det var for eksempel Twitter-rapporter om at MetroTwit, en populær Twitter-klient for Windows, stolte på SSL 3.0 og sluttet å jobbe etter at Twitter deaktivert SSL 3.0-støtte tirsdag kveld (MetroTwit har gitt ut en hurtigreparasjon, forresten, så du bør oppdatere klienten din).
"Det er usikkerheten som holder liv i disse tidlige generasjonsteknologiene, " sa Hunt.
Løs nettleserproblemet
Bruk en moderne nettleser som er kompatibel med standarder. Mozilla vil deaktivere SSL 3.0 som standard i neste versjon av Firefox, forventet 25. november, og Google skrubber det fra Chrome. Safari aktiverer SSL automatisk, men Apple har ennå ikke lagt vekt på planene for nettleseren. Microsoft la ut en veiledning med instruksjoner om deaktivering av SSL 3.0 fra Windows-stasjonære maskiner og servere.
"Ingen grunn til å hate på Microsoft, slik Internet Explorer 10 eller 11 vil gjøre, " sier Garve Hays, en løsningsarkitekt med NetIQ.
Du kan slå av SSL 3.0 manuelt i IE ved å fjerne merket for SSL 3.0-boksen under fanene Avanserte i menyen Internett-alternativer. Firefox-brukere bør gå til about.config i nettleseren, og endre verdien for security.tls.version.min til 1. De kan også laste ned et Mozilla-tillegg for å deaktivere SSL 3.0. Chrome-brukere som vil deaktivere SSL 3.0, kan legge til kommandolinjeflagget --ssl-version-min = tls1 i nettleseren.
Safari-brukere må vente på en oppdatering når som helst. Å holde seg utenfor Safari midlertidig vil redusere sannsynligheten for et Poodle-angrep.
Da Microsoft sluttet å støtte Windows XP tilbake i april, var det fremdeles holdouts som hevdet at de ikke så noen grunn til å oppgradere til operativsystemet. Hvis disse brukerne fremdeles bruker Internet Explorer 6, kommer de til å begynne å se ting bryte på nettet. CloudFlare har som standard deaktivert SSL 3.0 for alle nettstedene det er vert, inkludert de 2 millioner nettstedene som bruker gratisplanen. Denne avgjørelsen vil påvirke mindre enn 1 prosent av all trafikk til nettstedene, sier Cloudflare. Mange selskaper vil sannsynligvis følge Twitter sitt eksempel og slå av støtten på nettstedene sine. Hvis du fortsatt bruker IE 6 eller Windows XP, må du virkelig oppgradere.
"Hvis du kjører IE 6 i dag (ja, det er fremdeles noen), og du har ikke noe valg i å oppgradere fordi 'grunner', er du utstoppet, " skrev Hunt.
