Google forskere Bodo Möller, Thai Duong & Krzysztof Kotowicz meddelte i går, at de for nylig har opdaget Polstring Oracle On Nedgraderet Legacy Kryptering, kendt som POODLE, at angribe SSL 3.0 version af den offentlige krypteringsnøgle introduceret af Microsoft tilbage i 1996. I 1999 nøglen blev erstattet af en nyere version, kendt under navnet TLS 1.0, to mere, der kommer efter det (TLS 1.1 & TLS 1.2) men langt de fleste websteder og browsere bruger stadig de ældre, mindre sikker udgave af certifikatet. Hvad POODLE gør er at drage fordel, når nogen nedklassificerer til den ældre version, hvis de ikke er i stand til at etablere en sikker forbindelse. Nedjusteringen kan udløses af netværk glitches eller levende hackerangreb samt.
Hvorfor Er alle stadig bruger SSL 3.0 Når det er næsten 20 Years Old?
»Problemet er, at internettet har en hel bunke af bevægelige dele, der udvikler uafhængigt af hinanden., sikkerhed forsker Troy Hunt siger. …. «Og sådan er det med SSL; når to parter (sige en browser og en server) befinder sig på forskellige stadier i udviklingen og tilbyde støtte til forskellige versioner, de kan enten smide deres hænder op og sige "Vi kan bare ikke komme sammen’ eller de kan gå på kompromis og falde tilbage til en fælles version, de kan både støtte. Sidstnævnte er den mere anvendelig, så det er hvad der ofte sker. (I øvrigt, dette sker implicit og uden brugerinteraktion. Det er en 'funktion.)’
POODLE s bug måde at agere på
Det vises normalt, når nogen bruger en ikke-sikret offentlig Wi-Fi-forbindelse og ikke meget sandsynligt, at der sker, hvis du er hjemme, ved hjælp af Wi-Fi-beskyttet forbindelse. Den bruger den såkaldte Man-in-the-Middle-teknik. Hvis du sidder på en cybercafé eller et andet sted med usikret Wi-Fi, for eksempel, en hacker sidder ved siden af dig, ved hjælp af den samme usikker forbindelse, kan tvinge netværket til at nedgradere til SSL 3.0, således være i stand til at browse rundt de samme steder, du besøger på internettet i øjeblikket. Teknologien er ikke i stand til at stjæle passwords eller andre data brugeren kontrol, men hvis nogen sidder ved siden af kan du se, hvad du ser i øjeblikket, de kan browse rundt dine e-mails, Facebook, eller Twitter-beskeder uden problemer.
Beskyttelse mod puddelhund angreb
Der er et par ting, du kan gøre for at beskytte dig selv og dine data fra sådanne angreb.
- Først og fremmest, ikke træder steder, der indeholder personlige oplysninger om steder med gratis Wi-Fi hvis det er muligt. Hvis du virkelig skal gøre dette, bruger VPN beskyttelse, hvis muligt, De er ikke længere kun anvendes til arbejde længere, og med lidt vejledning nogen kan etablere en sådan forbindelse.
- Andet, være forsigtig med, hvad hjemmesider du besøger, når du bruger usikrede tilslutninger. Angribere har brug for en specielt designet Java-script kode at nedgradere til SSL 3.0 og få adgang til dine oplysninger, og kan narre dig til at besøge disse steder, hvis muligt.
- Den tredje og yderste løsning for dig er at deaktivere SSL 3.0 attest fra de browsere, du bruger. I deres næste udgivelse på 25 November i år vil Mozilla fjerne det som standard.
Google skraber det fra Chromes kode i øjeblikket. Brug versioner senere end Microsofts IE6 kunne også løse problemet, Microsoft har også sendt en Officiel guide hvordan man kan fjerne det fra browseren selv. Apples Safari ryktes at fjerne den i sin næste udgivelse, men desværre, ingen officielle oplysninger blev fundet.
Der er to sider tester hvorvidt du er sårbar over for POODLE eller ej – poodletest.com og poodle.io. De er faktisk virkelig morsomme og indeholder guider til, hvordan man går videre, hvis du også er sårbar. Prøv at tjekke dem ud og rette dine browsere - det er værd!