Відео: whatsaper ru ÐедеÑÑкие анекдоÑÑ Ð¿Ñо ÐовоÑÐºÑ (Вересень 2024)
Дослідники виявили ще одну серйозну вразливість в шарі захищених сокетів (SSL), який впливає на безпеку нашої інформації та комунікацій в Інтернеті. Хороша новина - ви можете вжити конкретних заходів для блокування атак, що використовують цей недолік.
Дослідники Google Бодо Мьоллер, Тайланд Дуонг та Кшиштоф Котович виклали деталі атаки Padding Oracle On Downgraed Legacy Encryption (POODLE) у консультацій з безпеки, розміщених на OpenSSL.org. Уразливість полягає в SSL 3.0, який був представлений у 1996 році, а його замінила безпека транспортного шару (TLS) у 1999 році. Пудл користується тим, що клієнти - включені веб-браузери - перейдуть на старіші, менш безпечні протоколи, якщо вони не вдається встановити захищене з'єднання. Зниження рівня може бути спровоковано мережевими глюками, а також активними зловмисниками.
"Оскільки мережевий зловмисник може спричинити збої в з’єднанні, вони можуть запустити використання SSL 3.0, а потім скористатися цією проблемою", - написав Мьоллер на блозі Команди безпеки з Інтернету Google у вівторок вдень.
Пудель виставляє сесійні файли cookie. Зловмисники не отримають пароль користувача до облікових записів електронної пошти чи інших служб в Інтернеті, але все одно зможуть увійти як користувач до тих пір, поки сесійне cookie буде дійсним. "Таким чином, поки ви знаходитесь у Starbucks, якийсь хакер поруч з вами зможе розміщувати твіти у вашому акаунті Twitter та читати всі ваші повідомлення Gmail", - заявив Роберт Грехем із Errata Security.
Перша лінія оборони
Атака Пуделя покладається на противника, який спочатку налаштовує атаку між людьми, щоб отримати контроль над Інтернет-з'єднанням жертви. Один із способів зробити це - встановити зловмисну точку доступу Wi-Fi у громадському місці, наприклад, в кафе. Зловмисникам також потрібно мати можливість запускати код Javascript всередині браузера жертви.
"Це вимагає, щоб хтось був посередником для експлуатації. Це означає, що ви, ймовірно, в безпеці від хакерів вдома, хоч і не безпечні від АНБ. Однак, коли у місцевих Starbucks чи інших незашифрованих Wi-Fi, ви становлять серйозну небезпеку від цього зламу ", - написав Грем.
Тож уже є кілька речей, які ви можете зробити, щоб запобігти успішним потенційним атакам пуделя. Як ми вже говорили знову і знову, не прискоряйте мимоволі до публічних мереж Wi-Fi або гостьових мереж, якими керують люди, яких ви не знаєте. Навіть якщо ви не турбуєтесь про Пуделя, атаки людиною в середині є серйозними, і ви захищаєте себе, обережно ставлячись до мереж, до яких ви підключаєтесь.
Якщо вам потрібно зайти в загальнодоступну мережу, використовуйте VPN, чи не з вашого робочого місця, чи з будь-якого з багатьох доступних VPN-сервісів. Тут є досить багато, таких як PrivateInternetAccess, CyberGhostVPN та HotSpot Shield від AnchorFree.
Зловмисники, ймовірно, обманюють користувачів відвідувати шкідливу веб-сторінку, розроблену для виконання спеціально створеного коду Javascript. Будьте уважні до того, які веб-сайти ви відвідуєте, і будьте уважні до пошуку фішинг-сайтів.
Чому ми все ще маємо SSL 3.0?
Більшість сучасних серверів і додатків використовують TLS 1.1 або 1.2, але SSL 3.0 все ще широко використовується для підтримки застарілих додатків і систем. Internet Explorer 6 - хороший приклад. Хоча IE 6 не настільки помітний, як раніше, він звисав досить довго, тому було створено досить багато серверів і додатків для підтримки SSL 3.0 разом із більш захищеною TLS. Netcraft, за оцінками, майже 97 відсотків веб-серверів SSL, ймовірно, буде вразливим.
"Ви могли б значною мірою вбити його в більшості місць сьогодні", - пише дослідник безпеки Троя Хант, але це лише частина проблеми, оскільки там є клієнти, які можуть залежати від здатності повернутися до SSL 3.0. Ми не знаємо, які вони, тому що компанії менш готові просто витягувати штекер. Наприклад, з'явилися повідомлення про Twitter, що MetroTwit, популярний клієнт Twitter для Windows, покладався на SSL 3.0 і припиняв роботу після того, як Twitter відключив підтримку SSL 3.0 у вівторок ввечері (MetroTwit випустила виправлення, до речі, тому вам слід оновити свого клієнта) .
"Саме невизначеність підтримує ці технології раннього покоління в живих", - сказав Хант.
Вирішіть проблему веб-переглядача
Використовуйте сучасний, відповідний стандартам веб-браузер. Mozilla вимкне SSL 3.0 за замовчуванням у наступній версії Firefox, яка очікується 25 листопада, а Google вичищає її з Chrome. Safari автоматично вмикає SSL, але Apple ще не може визначити свої плани щодо браузера. Microsoft розмістила рекомендації з інструкціями щодо відключення SSL 3.0 з настільних ПК та серверів.
"Не потрібно ненавидіти Microsoft, як це зробить Internet Explorer 10 або 11", - сказав Гарв Хейс, архітектор рішень з NetIQ.
Ви можете вручну вимкнути SSL 3.0 в IE, знявши прапорець у вікні Додаткові в меню «Параметри Інтернету» у вікні SSL 3.0. Користувачі Firefox повинні перейти до браузера about.config та змінити значення для security.tls.version.min на 1. Вони також можуть завантажити надбудову Mozilla, щоб відключити SSL 3.0. Користувачі Chrome, які хочуть відключити SSL 3.0, можуть додати до браузера прапор командного рядка --ssl-version-min = tls1 .
Користувачам Safari доведеться чекати оновлення кожного разу, коли воно з’явиться. Тимчасове перебування поза Сафарі зменшить ймовірність нападу Пуделя.
Коли в квітні Microsoft перестала підтримувати Windows XP, все ще залишалися прихильники, які заявляли, що не бачать причини оновлення до операційної системи. Якщо ці користувачі все ще користуються Internet Explorer 6, вони почнуть бачити, як все порушується в Інтернеті. CloudFlare відключив SSL 3.0 за замовчуванням для всіх веб-сайтів, на яких розміщено, включаючи 2 мільйони сайтів, які використовують безкоштовний план. Це рішення вплине на менше 1 відсотка всього трафіку на його сайти, зазначив Cloudflare. Багато компаній, ймовірно, наслідують приклад Twitter і відключають підтримку на своїх сайтах. Якщо ви все ще використовуєте IE 6 або Windows XP, вам дійсно потрібно оновити.
"Якщо ви сьогодні запускаєте IE 6 (так, все ще є), і у вас немає вибору в оновленні, тому що" причини ", ви заповнені", - написав Хант.
