Video: We Got a TOY POODLE Puppy (and she is THE cutest) 😍 (September 2024)
Forskare har upptäckt en annan allvarlig sårbarhet i Secure Sockets Layer (SSL) som påverkar hur vår information och kommunikation säkerställs online. Den goda nyheten är att du kan vidta specifika åtgärder för att blockera attacker som utnyttjar denna brist.
Google-forskarna Bodo Möller, Thai Duong och Krzysztof Kotowicz beskrev detaljerna om Padding Oracle On Downgraded Legacy Encryption (POODLE) i en säkerhetsrådgivning publicerad på OpenSSL.org. Sårbarheten finns i SSL 3.0, som introducerades 1996 och ersattes av Transport Layer Security (TLS) 1999. Poodle drar nytta av det faktum att klienter - webbläsare inkluderade - kommer att nedgradera till de äldre, mindre säkra protokollen om det kan inte upprätta en säker anslutning. Nedgraderingen kan utlösas av nätverksglitchar såväl som aktiva angripare.
"Eftersom en nätverksattacker kan orsaka anslutningsfel kan de utlösa användningen av SSL 3.0 och sedan utnyttja det här problemet", skrev Möller på Google Online Security Team-bloggen tisdag eftermiddag.
Poodle visar sessionskakor. Angriparna får inte användarens lösenord till e-postkonton eller andra onlinetjänster, men kommer fortfarande att kunna logga in som användare så länge sessionskakan är giltig. "Så länge du är på Starbucks kommer någon hacker bredvid dig att kunna posta tweets i ditt Twitter-konto och läsa alla dina Gmail-meddelanden, " sade Robert Graham från Errata Security.
Första försvarslinjen
Poodle-attacken förlitar sig på att motståndaren först inrättade en man-i-mitt-attack för att ta kontroll över offrets Internet-anslutning. Ett sätt att göra det är att ställa in en skadlig Wi-Fi-åtkomstpunkt på en offentlig plats, t.ex. en coffeeshop. Angripare måste också kunna köra Javascript-kod i offrets webbläsare.
"Det kräver att någon är en man i mitten för att utnyttja. Det betyder att du förmodligen är säker från hackare hemma, men inte säker från NSA. Men när du är på den lokala Starbucks eller annan okrypterad Wi-Fi, du är i allvarlig fara från detta hack, "skrev Graham.
Så det finns redan några saker du kan göra för att förhindra att potentiella Poodle-attacker lyckas. Som vi har sagt gång på gång, hoppa inte ihop till offentliga Wi-Fi-nätverk eller gästnätverk som drivs av människor du inte känner. Även om du inte är orolig för Poodle är attacker mellan människa allvarliga och du skyddar dig själv genom att vara försiktig med vilka nätverk du ansluter till.
Om du behöver komma på ett offentligt nätverk, använd VPN, oavsett från din arbetsplats eller någon av de många tillgängliga VPN-tjänsterna. Det finns ganska många där ute, som PrivateInternetAccess, CyberGhostVPN och AnchorFree's HotSpot Shield, för att nämna några.
Attacker kommer troligen att lura användare att besöka en skadlig webbsida som är utformad för att köra speciellt utformad Javascript-kod. Var försiktig med vilka webbplatser du besöker och leta efter nätfiskeplatser.
Varför har vi fortfarande SSL 3.0?
De flesta moderna servrar och applikationer använder TLS 1.1 eller 1.2, men SSL 3.0 används fortfarande i stor utsträckning för att stödja äldre applikationer och system. Internet Explorer 6 är ett bra exempel. Medan IE 6 inte är så synlig som det brukade vara, hängde den runt ganska länge, så ett stort antal servrar och applikationer byggdes för att stödja SSL 3.0 tillsammans med de säkrare TLS. Netcraft uppskattar nästan 97 procent av SSL-webbserverna är troligtvis sårbara.
"Du kan ganska mycket döda det på de flesta platser idag, " skrev säkerhetsforskaren Troy Hunt, men det är bara en del av problemet eftersom det finns klienter där ute som kan bero på förmågan att falla tillbaka till SSL 3.0. Vi vet inte vilka de är, vilket gör företag mindre villiga att bara dra i kontakten. Till exempel fanns det Twitter-rapporter om att MetroTwit, en populär Twitter-klient för Windows, förlitade sig på SSL 3.0 och slutade fungera efter att Twitter inaktiverade SSL 3.0-stöd tisdag kväll (MetroTwit har förresten släppt en snabbkorrigering, så du bör uppdatera din klient).
"Det är osäkerheten som håller dessa tidiga generations teknologier vid liv", sade Hunt.
Lös webbläsarproblemet
Använd en modern webbläsare som är kompatibel med standarder. Mozilla inaktiverar SSL 3.0 som standard i nästa version av Firefox, förväntat 25 november, och Google skurar det från Chrome. Safari aktiverar SSL automatiskt, men Apple har ännu inte tänkt på sina planer för webbläsaren. Microsoft publicerade en rådgivning med instruktioner om hur du inaktiverar SSL 3.0 från Windows-stationära datorer och servrar.
"Inget behov av att hata på Microsoft, som Internet Explorer 10 eller 11 kommer att göra", säger Garve Hays, en lösningsarkitekt med NetIQ.
Du kan stänga av SSL 3.0 manuellt i IE genom att avmarkera rutan SSL 3.0 under flikarna Avancerade i menyn Internetalternativ. Firefox-användare bör gå till about.config i webbläsaren och ändra värdet för security.tls.version.min till 1. De kan också ladda ner ett Mozilla-tillägg för att inaktivera SSL 3.0. Chrome-användare som vill inaktivera SSL 3.0 kan lägga till kommandoradsflaggan --ssl-version-min = tls1 i webbläsaren.
Safari-användare måste vänta på en uppdatering, närhelst den kommer. Om du stannar utanför Safari tillfälligt kommer det att minska sannolikheten för en Poodle-attack.
När Microsoft slutade stödja Windows XP tillbaka i april fanns det fortfarande holdouts som hävdade att de inte såg en anledning till uppgradering till operativsystemet. Om dessa användare fortfarande använder Internet Explorer 6 kommer de att börja se saker bryta online. CloudFlare har som standard inaktiverat SSL 3.0 för alla webbplatser som den är värd, inklusive de 2 miljoner webbplatser som använder gratisplanen. Detta beslut kommer att påverka mindre än 1 procent av all trafik till sina webbplatser, sa Cloudflare. Många företag följer troligen Twitters exempel och stänger av supporten på sina webbplatser. Om du fortfarande använder IE 6 eller Windows XP måste du verkligen uppgradera.
"Om du kör IE 6 idag (ja, det finns fortfarande några) och du har inget val att uppgradera eftersom" skäl "är du fyllda, " skrev Hunt.
