שמור על פודל בבטחון עם בטיחות בסיסית באינטרנט

חוקרים חשפו פגיעות חמורות נוספת בשכבה של Secure Sockets Layer (SSL) שמשפיעת על האופן שבו המידע והתקשורת שלנו מאובטחים באופן מקוון. החדשות הטובות הן שאתה יכול לנקוט בצעדים ספציפיים כדי לחסום התקפות המנצלות את הפגם הזה.

חוקרי גוגל בודו מולר, דואונג תאילנדי וקשישטוף קוטוביץ 'פירטו את פרטי ההתקפה של אורקל על התקפת הצפנת מורדים (POODLE) בהודעת אבטחה שפורסמה באתר OpenSSL.org. הפגיעות היא ב- SSL 3.0, שהוצג בשנת 1996, והוחלף על ידי Transport Layer Security (TLS) בשנת 1999. פודל מנצלת את העובדה שלקוחות - דפדפני אינטרנט כלולים - ישדרגו לאחור לפרוטוקולים הישנים והפחות מאובטחים אם זה לא מצליח ליצור חיבור מאובטח. השדרוג לאחור יכול להיות מופעל על ידי תקלות ברשת כמו גם תוקפים פעילים.

"מכיוון שתוקף רשת יכול לגרום לכשלי חיבור, הם יכולים לעורר את השימוש ב- SSL 3.0 ואז לנצל את הנושא הזה", כתב Möller בבלוג צוות האבטחה המקוון של גוגל ביום שלישי אחר הצהריים.

פודל חושף קובצי Cookie באתר. התוקפים לא יקבלו את סיסמת המשתמש לחשבונות דוא"ל או שירותים מקוונים אחרים, אך הם עדיין יוכלו להתחבר כמשתמש כל עוד קובץ ה- cookie של ההפעלה תקף. "כך, בזמן שאתה בסטארבוקס, האקר כלשהו שלידך יוכל לפרסם ציוצים בחשבון הטוויטר שלך ולקרוא את כל הודעות הג'ימייל שלך, " אמר רוברט גרהאם, שר הביטחון של ארטה.

קו ההגנה הראשון

מתקפת הפודל מסתמכת על כך שהיריב הקים תחילה התקפה של אדם באמצע כדי לתפוס שליטה על חיבור האינטרנט של הקורבן. אחת הדרכים לעשות זאת היא להגדיר נקודת גישה Wi-Fi זדונית במיקום ציבורי כמו קפה. התוקפים צריכים גם להיות מסוגלים להריץ קוד Javascript בתוך הדפדפן של הקורבן.

"זה דורש ממישהו להיות אדם באמצע כדי לנצל. זה אומר שאתה בטח בטוח מפני האקרים בבית, אם כי לא בטוח מה- NSA. עם זאת, כשאתה בסטארבקס המקומי או Wi-Fi אחר שאינו מוצפן, אתה בסכנה חמורה מהפרץ הזה, "כתב גרהם.

אז יש כבר כמה דברים שאתה יכול לעשות כדי למנוע התקפות פודל פוטנציאליות להצליח. כפי שאמרנו פעם אחר פעם, אל תקפצו ברצינות לרשתות Wi-Fi ציבוריות או לרשתות אורחים המופעלות על ידי אנשים שאינכם מכירים. גם אם אינכם מודאגים מפודל, ההתקפות של גברים באמצע הן חמורות ואתם מגנים על עצמכם על ידי זהירות לאילו רשתות אתם מתחברים.

אם אתה צריך לעלות לרשת ציבורית, השתמש ב- VPN, בין אם ממקום העבודה שלך או מכל אחד משירותי ה- VPN הרבים הזמינים. יש לא מעט שם בחוץ, כמו PrivateInternetAccess, CyberGhostVPN ו- HotSpot Shield של AnchorFree, כדי להזכיר כמה.

התוקפים עשויים להערים על המשתמשים לבקר בדף אינטרנט זדוני שנועד לבצע קוד Javascript מעוצב במיוחד. היזהר באילו אתרים שאתה מבקר והיה מחפש אחר אתרי דיוג.

מדוע עדיין יש לנו SSL 3.0?

מרבית השרתים והיישומים המודרניים משתמשים ב- TLS 1.1 או 1.2, אך SSL 3.0 עדיין נמצא בשימוש נרחב כדי לתמוך ביישומים ומערכות מדור קודם. Internet Explorer 6 הוא דוגמה טובה אחת. בעוד ש- IE 6 אינו נראה לעין כמו שהיה בעבר, הוא הסתובב די הרבה זמן, ולכן מספר לא מבוטל של שרתים ויישומים נבנו לתמיכה ב- SSL 3.0 יחד עם ה- TLS המאובטחים יותר. נטקראפט העריך כי כמעט 97 אחוז משרתי האינטרנט של SSL עשויים להיות פגיעים.

"אתה יכול להרוג את זה ברוב המקומות כיום", כתב חוקר האבטחה טרוי האנט, אבל זה רק חלק מהבעיה מכיוון שיש לקוחות בחוץ שעשויים להיות תלויים ביכולת לחזור ל- SSL 3.0. איננו יודעים אילו הם, מה שהופך חברות פחות מוכנות פשוט למשוך את התקע. לדוגמה, היו דיווחים בטוויטר כי MetroTwit, לקוח טוויטר פופולרי עבור חלונות, הסתמך על SSL 3.0 והפסיק לעבוד לאחר שטוויטר השבית את תמיכת SSL 3.0 ביום שלישי בערב (MetroTwit פרסמה תיקון חם, אגב, אז כדאי לעדכן את הלקוח שלך).

"חוסר הוודאות הוא שמחזיק את הטכנולוגיות של הדור המוקדם האלה בחיים", אמר האנט.

תקן את בעיית הדפדפן

השתמש בדפדפן אינטרנט מודרני ותואם. מוזילה תשבית את SSL 3.0 כברירת מחדל בגירסה הבאה של פיירפוקס, הצפויה ב -25 בנובמבר, וגוגל מגרדת אותה מכרום. Safari מאפשרת אוטומטית SSL, אך אפל טרם הכבידה על התוכניות שלה לדפדפן. מיקרוסופט פרסמה ייעוץ עם הוראות לביטול SSL 3.0 ממחשבים שולחניים ושרתים של Windows.

Garve Hays, ארכיטקט פתרונות ב- NetIQ, אמר: "אין צורך לשנוא על מיקרוסופט, כמו ש- Internet Explorer 10 או 11 יעשו."

ניתן לכבות ידנית את SSL 3.0 ב- IE על ידי ביטול הסימון של תיבת SSL 3.0 תחת הכרטיסיות מתקדמות בתפריט אפשרויות אינטרנט. משתמשי פיירפוקס צריכים ללכת ל- about.config בדפדפן, ולשנות את הערך של security.tls.version.min ל -1. הם יכולים גם להוריד תוסף מוזילה כדי להשבית את SSL 3.0. משתמשי Chrome שרוצים להשבית את SSL 3.0 יכולים להוסיף לדפדפן את דגל שורת הפקודה - ssl-version-min = tls1 .

משתמשי ספארי יצטרכו לחכות לעדכון, בכל פעם שהוא יבוא. הישארות זמנית מהספארי תפחית את הסבירות להתקף פודל.

כשמיקרוסופט הפסיקה לתמוך ב- Windows XP בחודש אפריל, היו עדיין עצורים שטענו כי הם לא רואים סיבה לשדרוג למערכת ההפעלה. אם אותם משתמשים עדיין משתמשים ב- Internet Explorer 6, הם יתחילו לראות דברים מתפרקים ברשת. CloudFlare השבתה את SSL 3.0 כברירת מחדל עבור כל האתרים שהיא מארחת, כולל 2 מיליון האתרים המשתמשים בתוכנית החינמית. החלטה זו תשפיע על פחות מאחוז מכלל התעבורה לאתרים שלה, אמר Cloudflare. חברות רבות ככל הנראה עוקבות אחר הדוגמא של טוויטר ומכבות את התמיכה באתריהן. אם אתה עדיין משתמש ב- IE 6 או ב- Windows XP, אתה באמת צריך לשדרג.

"אם אתה מנהל את IE 6 היום (כן, יש עדיין כאלה) ואין לך ברירה לשדרג כי 'סיבות', אתה ממולא, " כתב האנט.