Video: Poodle Puppy In New Tie Look Polite (Nobyembre 2024)
Natuklasan ng mga mananaliksik ang isa pang malubhang kahinaan sa Secure Sockets Layer (SSL) na nakakaapekto sa kung paano ligtas ang aming impormasyon at komunikasyon. Ang mabuting balita ay maaari kang gumawa ng mga tiyak na hakbang upang hadlangan ang mga pag-atake sa pagsasamantala sa kamalian.
Inilarawan ng mga mananaliksik ng Google na sina Bodo Möller, Thai Duong at Krzysztof Kotowicz ang mga detalye ng pag-atake ng Padding Oracle On Downgraded Legacy Encryption (POODLE) sa isang security advisory na nai-post sa OpenSSL.org. Ang kahinaan ay nasa SSL 3.0, na ipinakilala noong 1996, at pinalitan ng Transport Layer Security (TLS) noong 1999. Sinasamantala ni Poodle ang katotohanang kasama ng mga kliyente - Kasama sa mga browser ng web - ay bababa sa mas matanda, mas ligtas, protocol kung ito ay hindi makapagtatag ng isang ligtas na koneksyon. Ang pagbagsak ay maaaring ma-trigger ng mga glitch ng network pati na rin ang mga aktibong attackers.
"Dahil ang isang attacker ng network ay maaaring maging sanhi ng mga pagkabigo sa koneksyon, maaari nilang ma-trigger ang paggamit ng SSL 3.0 at pagkatapos ay pagsamantalahan ang isyung ito, " isinulat ni Möller sa blog ng Google Online Security Team noong hapon.
Inilantad ni Poodle ang mga cookies sa session. Hindi kukuha ng mga attackers ang password ng gumagamit sa mga email account o iba pang mga online na serbisyo, ngunit magagawa pa ring mag-log in bilang gumagamit hangga't ang cookie ng session ay may bisa. "Kaya, habang ikaw ay nasa Starbucks, ang ilang hacker sa tabi mo ay mai-post ang mga tweet sa iyong Twitter account at basahin ang lahat ng iyong mga mensahe sa Gmail, " sabi ni Robert Graham ng Errata Security.
Unang Linya ng Depensa
Ang pag-atake ng Poodle ay nakasalalay sa kalaban na unang nag-set up ng isang man-in-the-middle attack upang makuha ang kontrol ng koneksyon sa Internet ng biktima. Ang isang paraan upang gawin iyon ay upang mag-set up ng isang nakakahamak na Wi-Fi access point sa isang pampublikong lokasyon tulad ng isang coffeeshop. Kailangang magpatakbo ng mga Javascript code sa loob ng browser ng biktima.
"Kinakailangan ang isang tao na maging man-in-the-middle upang samantalahin. Nangangahulugan ito na malamang na ligtas ka sa mga hacker sa bahay, kahit na hindi ligtas mula sa NSA. Gayunpaman, kapag sa lokal na Starbucks o iba pang hindi naka-encrypt na Wi-Fi, ikaw ay nasa matinding panganib mula sa hack na ito, "sumulat si Graham.
Kaya mayroon nang ilang mga bagay na maaari mong gawin upang maiwasan ang mga potensyal na pag-atake ng Poodle mula sa pagtagumpay. Tulad ng sinabi naming oras at oras muli, huwag lumapit sa mga pampublikong Wi-Fi network o mga network ng panauhin na pinatatakbo ng mga taong hindi mo kilala. Kahit na hindi ka nag-aalala tungkol sa Poodle, ang mga pag-atake ng tao ay malubhang at pinoprotektahan mo ang iyong sarili sa pamamagitan ng pagiging maingat sa kung ano ang mga network na kumonekta sa iyo.
Kung kailangan mong makapunta sa isang pampublikong network, gumamit ng VPN, mula sa iyong lugar ng trabaho o alinman sa maraming mga serbisyo ng VPN na magagamit. Mayroong kaunti sa labas, tulad ng PrivateInternetAccess, CyberGhostVPN, at HotSpot Shield ng AnchorFree, upang pangalanan ang iilan.
Ang mga umaatake ay malamang na linlangin ng mga gumagamit sa pagbisita sa isang nakakahamak na pahina ng Web na idinisenyo upang maisagawa ang espesyal na ginawa na code ng Javascript. Mag-ingat sa kung ano ang mga site na binisita mo at maging maingat sa mga site ng phishing.
Bakit Mayroon pa tayong SSL 3.0?
Karamihan sa mga modernong server at application ay gumagamit ng TLS 1.1 o 1.2, ngunit ang SSL 3.0 ay malawakang ginagamit upang suportahan ang mga aplikasyon at mga sistema ng legacy. Ang Internet Explorer 6 ay isang mabuting halimbawa. Habang ang IE 6 ay hindi nakikita tulad ng dati, nag-hang ito sa paligid ng mahabang panahon, kaya medyo maraming mga server at application ang binuo upang suportahan ang SSL 3.0 kasama ang mas ligtas na TLS. Ang Netcraft ay tinatayang halos 97 porsyento ng mga SSL Web server ay malamang na masugatan.
"Maaari mo talagang patayin ito sa karamihan ng mga lugar ngayon, " isinulat ng security researcher na si Troy Hunt, ngunit iyon ay bahagi lamang ng problema dahil may mga kliyente na lumabas doon na maaaring depende sa kakayahang bumalik sa SSL 3.0. Hindi namin alam kung alin ang mga ito, na ginagawang hindi gaanong handa ang mga kumpanya na hilahin lamang ang plug. Halimbawa, mayroong mga ulat sa Twitter na ang MetroTwit, isang tanyag na kliyente ng Twitter para sa Windows, ay umasa sa SSL 3.0 at tumigil sa pagtatrabaho matapos na hindi pinagana ng Twitter ang SSL 3.0 na suporta noong Martes ng gabi (ang MetroTwit ay naglabas ng isang hotfix, sa pamamagitan ng paraan, kaya dapat mong i-update ang iyong kliyente) .
"Ito ang kawalan ng katiyakan na nagpapanatili ng mga teknolohiyang maagang henerasyon na ito, " sabi ni Hunt.
Ayusin ang problema sa Browser
Gumamit ng isang moderno at pamantayan na sumusunod sa Web browser. Hindi paganahin ng Mozilla ang SSL 3.0 sa pamamagitan ng default sa susunod na bersyon ng Firefox, inaasahan na 25 Nobyembre, at pinapagalitan ito ng Google mula sa Chrome. Binibigyang-daan ng Safari auto ang SSL, ngunit ang Apple ay may timbangin pa sa mga plano nito para sa browser. Nagpost si Microsoft ng isang advisory na may mga tagubilin sa pag-disable ng SSL 3.0 mula sa mga desktop at server ng Windows.
"Hindi na kailangang mapoot sa Microsoft, tulad ng gagawin ng Internet Explorer 10 o 11, " sabi ni Garve Hays, isang arkitektura ng solusyon sa NetIQ.
Maaari mong manu-manong i-off ang SSL 3.0 sa IE sa pamamagitan ng pag-un-check ang SSL 3.0 na kahon sa ilalim ng Mga tab na Advanced sa menu ng Mga Pagpipilian sa Internet. Ang mga gumagamit ng Firefox ay dapat pumunta sa about.config sa browser, at baguhin ang halaga para sa security.tls.version.min sa 1. Maaari rin silang mag-download ng isang Mozilla add-on upang huwag paganahin ang SSL 3.0. Ang mga gumagamit ng Chrome na nais huwag paganahin ang SSL 3.0 ay maaaring magdagdag ng watawat ng command line --ssl-version-min = tls1 sa browser.
Ang mga gumagamit ng Safari ay kailangang maghintay para sa isang pag-update, pagdating nito. Pansamantalang manatili ang Safari pansamantalang mabawasan ang posibilidad ng isang atake ng Poodle.
Nang tumigil ang Microsoft sa pagsuporta sa Windows XP noong Abril, mayroon pa ring mga holdout na nagsabing hindi nila nakita ang isang dahilan para sa pag-upgrade sa operating system. Kung ang mga gumagamit ay gumagamit pa rin ng Internet Explorer 6, sisimulan nilang makita ang mga bagay na masira sa online. Hindi pinagana ng CloudFlare ang SSL 3.0 bilang default para sa lahat ng mga site na nagho-host, kasama ang 2 milyong mga site na gumagamit ng libreng plano. Ang desisyon na ito ay makakaapekto sa mas mababa sa 1 porsyento ng lahat ng trapiko sa mga site nito, sinabi ni Cloudflare. Maraming mga kumpanya ang malamang na sumusunod sa halimbawa ng Twitter at patayin ang suporta sa kanilang mga site. Kung gumagamit ka pa rin ng IE 6 o Windows XP, kailangan mo talagang mag-upgrade.
"Kung nagpapatakbo ka ng IE 6 ngayon (oo, may ilan pa rin) at wala kang pagpipilian sa pag-upgrade dahil 'mga dahilan', pinalamanan ka, " sulat ni Hunt.
