Google chercheurs Bodo Möller, Thai Duong & Krzysztof Kotowicz annoncé hier qu'ils ont récemment découvert padding oracle Sur dégradée cryptage Legacy, connu sous le nom CANICHE, être attaquer le SSL 3.0 version de la clé de chiffrement publique introduit par Microsoft de retour dans 1996. Dans 1999 la clé a été remplacé par une version plus récente, connue sous le nom de TLS 1.0, deux autres à venir après que (TLS 1.1 & TLS 1.2) mais une grande majorité des sites Web et des navigateurs utilisent encore les anciens, version moins sécurisé du certificat. Ce que POODLE fait, c'est de profiter quand quelqu'un rétrograde vers la version plus ancienne s'il est incapable d'établir une connexion sécurisée. Le déclassement peut être déclenchée par des problèmes de réseau ou d'attaques de pirates en direct ainsi.
Pourquoi tout le monde Toujours en utilisant SSL 3.0 Quand il est presque 20 Ans?
«Le problème est que l'Internet a tout un tas de pièces qui évoluent indépendamment les uns des autres en mouvement.", chercheur en sécurité Troy Hunt dit. …. Et c'est donc avec SSL; lorsque deux parties (dire un navigateur et un serveur) sont à différents stades d'évolution et offrir un soutien pour les différentes versions, ils pourraient soit baisser les bras et dire: «Nous ne pouvons tout simplement pas s'entendre’ ou ils peuvent compromettre et revenir à une version commune, ils peuvent à la fois de support. Ce dernier est le plus utilisable si c'est ce qui arrive souvent. (Incidemment, ce qui se passe implicitement et sans interaction de l'utilisateur. C'est une «caractéristique.)’
Bug le chemin de CANICHE de intérim
Cela apparaît généralement lorsque quelqu'un utilise une connexion Wi-Fi publique non sécurisée et il est peu probable que cela se produise si vous êtes à la maison, en utilisant une connexion Wi-Fi protégé. Il utilise la technique dite de l'homme au milieu. Si vous êtes assis dans un cybercafé ou dans un autre endroit avec une connexion Wi-Fi non sécurisée, par exemple, un pirate assis à côté de vous, en utilisant la même connexion non sécurisée, peut forcer le réseau de revenir à SSL 3.0, étant ainsi en mesure de naviguer autour des mêmes endroits que vous visitez sur Internet à l'heure actuelle. La technologie n'est pas en mesure de voler des mots de passe ou d'autres données utilisateur vérification, mais si quelqu'un assis à côté de vous peut voir ce que vous voyez au moment où ils peuvent naviguer autour de vos e-mails, Facebook, ou des messages Twitter sans problème.
Protection contre les attaques de caniche
Il ya quelques choses que vous pouvez faire pour vous protéger et vos données de ces attaques.
- Tout d'abord, Ne pas entrer les sites contenant des renseignements personnels sur les lieux avec une connexion Wi-Fi si possible. Si vous devez vraiment le faire, utiliser une protection VPN si possible, ils ne sont plus utilisés que pour des travaux plus et avec un peu d'aide n'importe qui peut établir une telle connexion.
- Deuxième, attention à ce que les sites que vous visitez lors de l'utilisation connexions non sécurisées. Les attaquants ont besoin d'un code Java-script spécialement conçu pour rétrograder à SSL 3.0 et accéder à vos informations et peut vous inciter à visiter ces sites, si possible.
- La troisième et la plus grande solution pour vous est de désactiver le SSL 3.0 certificat délivré par les navigateurs que vous utilisez. Dans leur prochaine libération 25 Novembre de cette année, Mozilla va le supprimer par défaut.
Google est en train de le supprimer du code de Chrome pour le moment. L'utilisation de versions plus tard IE6 de Microsoft pourrait également résoudre le problème, Microsoft a également publié un guide officiel comment faire pour supprimer à partir du navigateur vous. La rumeur veut que Apple supprime Safari dans sa prochaine version, mais malheureusement, aucune information officielle n'a été trouvée.
Il ya deux pages de s'assurer que vous êtes vulnérable à CANICHE ou pas – poodletest.com et poodle.io. Ils sont assez amusants et contiennent des guides sur la marche à suivre si vous êtes également vulnérable.. Essayez de les vérifier et de réparer vos navigateurs - cela en vaut la peine!
