Google-Forscher Bodo Möller, Thai Duong & Krzysztof Kotowicz gestern angekündigt, dass sie vor kurzem Padding Oracle entdeckte Auf Downgraded Legacy-Verschlüsselung, als POODLE bekannt, sein Angriff auf die SSL- 3.0 Version des von Microsoft zurück in eingeführt öffentlich-Verschlüsselungsschlüssel 1996. In 1999 der Schlüssel wurde durch eine neuere Version ersetzt, unter dem Namen TLS bekannt 1.0, kommen zwei weitere nach, dass (TLS 1.1 & TLS 1.2) Die überwiegende Mehrheit der Websites und Browser verwendet jedoch immer noch die älteren, weniger sichere Version des Zertifikats. POODLE nutzt den Vorteil, wenn jemand ein Downgrade auf die ältere Version durchführt, wenn keine sichere Verbindung hergestellt werden kann. Die Herabstufung durch Pannen oder Live-Netzwerk Hacker-Angriffe als auch ausgelöst werden.
Warum ist jeder immer noch mit SSL 3.0 Wenn es fast 20 Jahre alt?
"Das Problem ist, dass das Internet hat einen ganzen Haufen von beweglichen Teilen, die unabhängig voneinander entwickeln.", Sicherheitsforscher Troy Jagd, sagt. …. "Und so ist es mit SSL; wenn zwei Parteien (sagen, einen Browser und einen Server) befinden sich in unterschiedlichen Stadien der Entwicklung und bieten Unterstützung für verschiedene Versionen, sie konnten entweder werfen ihre Hände und sagen: "Wir können einfach nicht miteinander auskommen’ oder sie beeinträchtigen und Zurückgreifen auf eine gemeinsame Version können sie beide unterstützen können. Letzteres ist das mehr verwendbar, das ist, was oft geschieht,. (Übrigens, Dies geschieht implizit und ohne Benutzereingriffe. Es ist ein "Feature.)’
Pudel Bug Art des Handelns
Es wird normalerweise angezeigt, wenn jemand eine nicht gesicherte öffentliche Wi-Fi-Verbindung verwendet, und es ist nicht sehr wahrscheinlich, dass dies passiert, wenn Sie zu Hause sind, über Wi-Fi-Verbindung geschützt. Es verwendet die sogenannte Man-in-the-Middle-Technik. Wenn Sie in einem Cyber-Café oder an einem anderen Ort mit ungesichertem WLAN sitzen, beispielsweise, ein Hacker neben Ihnen sitzt, mit der gleichen ungesicherte Verbindung, kann das Netzwerk zu zwingen, SSL Downgrade 3.0, somit in der Lage, um die gleichen Orte, die Sie über das Internet im Moment Besuch durchsuchen. Die Technik ist nicht in der Lage, Passwörter oder andere Benutzer-Verifikationsdaten aber wenn jemand neben Ihnen sitzt im Moment sehen, was Sie sehen, dass sie rund um Ihre E-Mails durchsuchen können stehlen, Facebook, oder Twitter-Nachrichten ohne Probleme.
Schutz vor Angriffen POODLE
Es gibt ein paar Dinge, die Sie tun können, um sich selbst zu schützen und Ihre Daten vor solchen Angriffen.
- Zunächst, Geben Sie keine Seiten mit persönlichen Daten auf Orte mit kostenfreiem WLAN, wenn möglich. Wenn Sie wirklich müssen, so tun, verwenden VPN Schutz, wenn möglich, sie sind nicht mehr nur für die Arbeit mehr verwendet und mit ein wenig Anleitung kann jeder solche Verbindung herzustellen.
- Zweite, Sei vorsichtig, was Websites, die Sie gerade besuchen, wenn Sie ungesicherte Verbindungen. Angreifer benötigen eine speziell konzipierte Java-Script-Code, um die SSL-Downgrade 3.0 und Zugriff auf Ihre Informationen und können Sie zum Besuch solcher Seiten, wenn möglich, zu betrügen.
- Die dritte und höchste Lösung für Sie ist es, die SSL deaktivieren 3.0 Zertifikat von Ihnen verwendeten Browser. In ihrem nächsten Release auf 25 November dieses Jahres wird Mozilla es standardmäßig entfernen.
Google kratzt es derzeit aus dem Chrome-Code. Mit Versionen später als Microsofts IE6 könnte auch das Problem zu lösen, Microsoft hat auch eine veröffentlicht offizielle Reiseführer , wie man es vom Browser selbst zu entfernen. Es wird gemunkelt, dass Apples Safari es in der nächsten Version entfernen soll, aber leider, Es wurden keine offiziellen Informationen gefunden.
Es gibt zwei Seiten testen, ob Sie gefährdet sind oder nicht POODLE – poodletest.com und poodle.io. Sie sind eigentlich ziemlich amüsant und enthalten Anleitungen zum weiteren Vorgehen, wenn Sie ebenfalls verwundbar sind. Probieren Sie sie aus und reparieren Sie Ihre Browser - es lohnt sich!
