Video: ZEITGEIST: MOVING FORWARD | OFFICIAL RELEASE | 2011 (Decembris 2024)
Pētnieki ir atklājuši vēl vienu nopietnu ievainojamību Secure Sockets Layer (SSL), kas ietekmē mūsu informācijas un sakaru drošību tiešsaistē. Labā ziņa ir tā, ka jūs varat veikt īpašus pasākumus, lai bloķētu uzbrukumus, izmantojot šo trūkumu.
Google pētnieki Bodo Möllers, Taizemes Duongs un Krzysztofs Kotowicz izklāstīja informāciju par Padding Oracle On Downgraded Legacy Encryption (POODLE) uzbrukumu drošības ieteikumā, kas ievietots OpenSSL.org. Ievainojamība ir SSL 3.0, kas tika ieviesta 1996. gadā un kuru 1999. gadā aizstāja ar Transport Layer Security (TLS). Pūdelis izmanto faktu, ka klienti - ieskaitot Web pārlūkus - pazeminās uz vecākiem, mazāk drošiem protokoliem, ja tas nevar izveidot drošu savienojumu. Samazināšanu var izraisīt tīkla kļūdas, kā arī aktīvi uzbrucēji.
"Tā kā tīkla uzbrucējs var izraisīt savienojuma kļūmes, viņi var izraisīt SSL 3.0 izmantošanu un pēc tam izmantot šo problēmu, " otrdien pēcpusdienā Möllers rakstīja Google tiešsaistes drošības komandas emuārā.
Pūdelis pakļauj sesijas sīkdatnes. Uzbrucēji nesaņems lietotāja paroli e-pasta kontos vai citos tiešsaistes pakalpojumos, bet joprojām varēs pieteikties kā lietotājs, kamēr sesijas sīkdatne būs derīga. "Tādējādi, kamēr jūs atrodaties Starbucks, daži hakeri blakus jums varēs ievietot tvītus savā Twitter kontā un izlasīt visus jūsu Gmail ziņojumus, " sacīja Errata Security pārstāvis Roberts Grahems.
Pirmā aizsardzības līnija
Pūdeļa uzbrukums paļaujas uz to, ka pretinieks vispirms izveido uzbrukumu cilvēkam-centram, lai savaldītu upura interneta savienojumu. Viens veids, kā to izdarīt, ir ļaunprātīga Wi-Fi piekļuves punkta iestatīšana publiskā vietā, piemēram, kafejnīcā. Uzbrucējiem jāspēj arī palaist Javascript kodu upura pārlūkā.
"Tas prasa, lai kāds būtu vidēja līmeņa cilvēks, lai to izmantotu. Tas nozīmē, ka jūs droši vien esat drošībā no hakeriem mājās, lai arī neesat drošs no NSA. Tomēr, atrodoties vietējā Starbucks vai citā nešifrētā Wi-Fi tīklā, jūs no šī hakera ir nopietnas briesmas, "rakstīja Grehems.
Tāpēc jau ir dažas lietas, kuras varat darīt, lai novērstu iespējamos pūdeļa uzbrukumus. Kā mēs atkal un atkal esam teikuši, nevilcinieties publiski pieejamos Wi-Fi tīklos vai viesu tīklos, kurus pārvalda cilvēki, kurus jūs nepazīstat. Pat ja jūs neuztraucaties par pūdeli, uzbrukumi cilvēkam pa vidu ir nopietni, un jūs sevi pasargājat, piesardzīgi izvēloties pieslēgtos tīklus.
Ja jums jāatrodas publiskajā tīklā, izmantojiet VPN neatkarīgi no tā, vai atrodaties no savas darba vietas, vai kādu no daudzajiem pieejamajiem VPN pakalpojumiem. Tur ir diezgan daudz, piemēram, PrivateInternetAccess, CyberGhostVPN un AnchorFree HotSpot Shield, lai nosauktu dažus.
Uzbrucēji, iespējams, pievilinās lietotājus, apmeklējot ļaunprātīgu Web lapu, kas paredzēta speciāli izstrādāta Javascript koda izpildei. Esiet piesardzīgs attiecībā uz apmeklētajām vietnēm un esiet piesardzīgs pikšķerēšanas vietnēm.
Kāpēc mums joprojām ir SSL 3.0?
Lielākā daļa mūsdienu serveru un lietojumprogrammu izmanto TLS 1.1 vai 1.2, bet SSL 3.0 joprojām tiek plaši izmantots, lai atbalstītu mantotās lietojumprogrammas un sistēmas. Internet Explorer 6 ir viens labs piemērs. Lai gan IE 6 nav tik redzams, kā tas bija agrāk, tas ilgi karājās apkārt, tāpēc tika izveidots diezgan daudz serveru un lietojumprogrammu, lai atbalstītu SSL 3.0 kopā ar drošāku TLS. Netcraft lēš, ka gandrīz 97 procenti SSL tīmekļa serveru, iespējams, ir neaizsargāti.
"Jūs šodien to varētu gandrīz nogalināt, " rakstīja drošības pētnieks Trojs Hunts, taču tā ir tikai daļa no problēmas, jo tur ir klienti, kas var būt atkarīgi no spējas atgriezties pie SSL 3.0. Mēs nezinām, kuri tie ir, padarot uzņēmumus mazāk gatavus vienkārši paņemt spraudni. Piemēram, bija čivināt ziņojumi, ka MetroTwit, Windows populārais Twitter klients, paļāvās uz SSL 3.0 un pārstāja darboties pēc tam, kad otrdienas vakarā Twitter atspējoja SSL 3.0 atbalstu (MetroTwit, starp citu, ir izlaidis labojumfailu, tāpēc jums vajadzētu atjaunināt klientu)..
"Tā ir nenoteiktība, kas uztur šīs agrīnās paaudzes tehnoloģijas dzīvas, " sacīja Hunts.
Izlabojiet pārlūka problēmu
Izmantojiet modernu, standartiem atbilstošu Web pārlūku. Nākamajā Firefox versijā, kas gaidāma 25. novembrī, Mozilla pēc noklusējuma atspējos SSL 3.0, un Google to berž no pārlūka Chrome. Safari automātiski iespējot SSL, taču Apple vēl nav apsvēris savus pārlūka plānus. Microsoft ievietoja ieteikumu ar norādījumiem par SSL 3.0 atspējošanu no Windows darbvirsmām un serveriem.
"Nav nepieciešams ienīst Microsoft, kā to darīs Internet Explorer 10 vai 11, " sacīja Garve Hays, NetIQ risinājumu arhitekts.
Varat manuāli izslēgt SSL 3.0 IE, noņemot atzīmi no izvēles rūtiņas SSL 3.0 zem izvēlnes Interneta opcijas cilnes Papildu. Firefox lietotājiem pārlūkā jāiet uz vietni about.config un jāmaina drošības.tls.version.min vērtība uz 1. Viņi var arī lejupielādēt Mozilla papildinājumu, lai atspējotu SSL 3.0. Chrome lietotāji, kuri vēlas atspējot SSL 3.0, pārlūkam var pievienot komandrindas karogu --ssl-version-min = tls1 .
Safari lietotājiem būs jāgaida atjauninājums, kad vien tas notiks. Uz laiku uzturoties ārpus Safari, mazināsies pūdeļa uzbrukuma iespējamība.
Kad Microsoft aprīlī pārtrauca atbalstīt Windows XP, joprojām bija pārtraukumi, kas apgalvoja, ka neredz iemeslu jaunināšanai uz operētājsistēmu. Ja šie lietotāji joprojām izmanto pārlūkprogrammu Internet Explorer 6, viņi redzēs, ka lietas tiešsaistē sabojājas. CloudFlare pēc noklusējuma ir atspējojis SSL 3.0 visās vietnēs, kuras tā mitina, ieskaitot 2 miljonus vietņu, kuras izmanto bezmaksas plānu. Šis lēmums ietekmēs mazāk nekā 1 procentu no visas datplūsmas uz tās vietnēm, sacīja Cloudflare. Visticamāk, daudzi uzņēmumi seko Twitter piemēram un izslēdz atbalstu savās vietnēs. Ja jūs joprojām izmantojat IE 6 vai Windows XP, jums patiešām ir jāveic jaunināšana.
"Ja jūs šodien izmantojat IE 6 (jā, joprojām ir daži) un jums nav izvēles iespēju veikt jaunināšanu, jo" iemesli ", jūs esat piepildīts, " rakstīja Hunts.
