Видео: whatsaper ru ÐедеÑÑкие анекдоÑÑ Ð¿Ñо ÐовоÑÐºÑ (Ноябрь 2024)
Исследователи обнаружили еще одну серьезную уязвимость в Secure Sockets Layer (SSL), которая влияет на то, как наша информация и коммуникации защищены в Интернете. Хорошей новостью является то, что вы можете предпринять определенные шаги, чтобы заблокировать атаки, использующие этот недостаток.
Исследователи Google Бодо Меллер, Тай Дуонг и Кшиштоф Котович обрисовали подробности атаки Padding Oracle On Downgraded Legacy Encryption (POODLE) в сообщении безопасности, размещенном на OpenSSL.org. Уязвимость существует в SSL 3.0, который был представлен в 1996 году и заменен на Transport Layer Security (TLS) в 1999 году. Poodle использует тот факт, что клиенты, включая веб-браузеры, будут переходить на более старые, менее безопасные протоколы, если не может установить безопасное соединение. Понижение может быть вызвано сбоями в сети, а также активными злоумышленниками.
«Поскольку злоумышленник в сети может вызвать сбои соединения, он может инициировать использование SSL 3.0 и затем использовать эту проблему», - написал Меллер в блоге Google Online Security Team во вторник днем.
Пудель выставляет сессионные куки. Злоумышленники не получат пароль пользователя для учетных записей электронной почты или других онлайн-сервисов, но все равно смогут войти в систему как пользователь, если cookie-файл сеанса действителен. «Таким образом, пока вы находитесь в Starbucks, некоторые хакеры рядом с вами смогут публиковать твиты в своей учетной записи Twitter и читать все ваши сообщения Gmail», - сказал Роберт Грэм из Errata Security.
Первая линия обороны
Атака пуделя основывается на том, что противник сначала настраивает атаку «человек посередине», чтобы захватить контроль над интернет-соединением жертвы. Один из способов сделать это - создать вредоносную точку доступа Wi-Fi в общедоступном месте, например, в кафе. Злоумышленники также должны иметь возможность запускать код Javascript внутри браузера жертвы.
«Для эксплуатации требуется, чтобы кто-то был посредником. Это означает, что вы, вероятно, защищены от хакеров дома, хотя и не защищены от АНБ. Однако, находясь в местном Starbucks или другом незашифрованном Wi-Fi, вы от этого взлома в серьезной опасности ", написал Грэм.
Так что уже есть несколько вещей, которые вы можете сделать, чтобы предотвратить потенциальные атаки пуделя. Как мы повторяли снова и снова, не прыгайте с волей в открытые сети Wi-Fi или гостевые сети, управляемые людьми, которых вы не знаете. Даже если вы не беспокоитесь о Poodle, атаки типа «человек посередине» серьезны, и вы защищаете себя, внимательно следя за тем, к каким сетям вы подключаетесь.
Если вам необходимо подключиться к общедоступной сети, используйте VPN с рабочего места или с помощью любой из множества доступных служб VPN. Есть немало, таких как PrivateInternetAccess, CyberGhostVPN и HotSpot Shield AnchorFree, чтобы назвать несколько.
Злоумышленники, скорее всего, обманом заставят пользователей посетить вредоносную веб-страницу, предназначенную для выполнения специально созданного кода Javascript. Будьте осторожны с посещением сайтов и следите за фишинговыми сайтами.
Почему у нас все еще есть SSL 3.0?
Большинство современных серверов и приложений используют TLS 1.1 или 1.2, но SSL 3.0 все еще широко используется для поддержки устаревших приложений и систем. Internet Explorer 6 является хорошим примером. Хотя IE 6 не так заметен, как раньше, он довольно долго зависал, поэтому было создано довольно много серверов и приложений, поддерживающих SSL 3.0 и более безопасный TLS. По оценкам Netcraft, почти 97 процентов веб-серверов SSL могут быть уязвимы.
«В большинстве мест сегодня это можно было бы убить», - пишет исследователь безопасности Трой Хант, но это только часть проблемы, поскольку существуют клиенты, которые могут зависеть от возможности использовать SSL 3.0. Мы не знаем, кто они, что делает компании менее готовыми просто отключиться. Например, в Твиттере появились сообщения о том, что MetroTwit, популярный клиент Twitter для Windows, использовал SSL 3.0 и перестал работать после того, как во вторник вечером Twitter отключил поддержку SSL 3.0 (кстати, MetroTwit выпустил исправление, поэтому вам следует обновить свой клиент),
«Это неопределенность, которая поддерживает эти технологии раннего поколения», - сказал Хант.
Исправить проблему с браузером
Используйте современный веб-браузер, соответствующий стандартам. Mozilla отключит SSL 3.0 по умолчанию в следующей версии Firefox, ожидаемой 25 ноября, и Google удаляет его из Chrome. Safari автоматически включает SSL, но Apple еще предстоит взвесить свои планы относительно браузера. Microsoft опубликовала рекомендации с инструкциями по отключению SSL 3.0 на рабочих столах и серверах Windows.
«Не нужно ненавидеть Microsoft, как Internet Explorer 10 или 11, - сказал Гарве Хейс, архитектор решений NetIQ.
Вы можете вручную отключить SSL 3.0 в IE, сняв флажок SSL 3.0 на вкладках «Дополнительно» в меню «Свойства обозревателя». Пользователи Firefox должны перейти к about.config в браузере и изменить значение security.tls.version.min на 1. Они также могут загрузить дополнение Mozilla для отключения SSL 3.0. Пользователи Chrome, которые хотят отключить SSL 3.0, могут добавить флаг командной строки --ssl-version-min = tls1 в браузер.
Пользователям Safari придется ждать обновления в любое время. Временное отключение от Safari уменьшит вероятность атаки пуделя.
Когда в апреле Microsoft прекратила поддержку Windows XP, все еще оставались несогласные, которые утверждали, что не видят причин для обновления операционной системы. Если эти пользователи все еще используют Internet Explorer 6, они начнут видеть, как что-то ломается в сети. CloudFlare отключил SSL 3.0 по умолчанию для всех сайтов, которые он размещает, включая 2 миллиона сайтов, которые используют бесплатный тариф. По словам Cloudflare, это решение повлияет менее чем на 1 процент всего трафика на его сайты. Многие компании могут последовать примеру Твиттера и отключить поддержку на своих сайтах. Если вы все еще используете IE 6 или Windows XP, вам действительно нужно обновить.
«Если вы используете IE 6 сегодня (да, некоторые еще есть) и у вас нет выбора в обновлении, потому что« причины », вы напичканы», - пишет Хант.