I ricercatori di Google Bodo Möller, Thai Duong & Krzysztof Kotowicz ha annunciato ieri di aver recentemente scoperto Imbottitura Oracle On degradata crittografia Legacy, noto come BARBONCINO, come attaccare la SSL 3.0 versione della chiave di crittografia pubblica introdotto da Microsoft nel 1996. In 1999 la chiave è stata sostituita da una nuova versione, conosciuto con il nome di TLS 1.0, più due venuta dopo che (TLS 1.1 & TLS 1.2) ma la stragrande maggioranza dei siti Web e dei browser utilizza ancora i vecchi, versione meno sicuro del certificato. Quello che fa POODLE è trarre vantaggio quando qualcuno esegue il downgrade alla versione precedente se non è in grado di stabilire una connessione sicura. Il downgrade può essere innescato da difetti di rete o attacchi di hacker dal vivo e.
Perché sono tutti ancora utilizzando SSL 3.0 Quando è quasi 20 Anni?
'Il problema è che Internet ha un insieme di parti che evolvono indipendentemente l'uno dall'altro in movimento.', ricercatore di sicurezza Troy Hunt dice. …. 'E così è con SSL; quando due parti (dire un browser e un server) sono a diversi stadi di evoluzione e di offrire il supporto per diverse versioni, potevano o gettare le mani in alto e dire 'Non possiamo andare d'accordo’ o possono compromettere e ripiegare ad una versione comune che possono entrambi supporto. Quest'ultimo è il più usabile ed è quello che spesso accade. (Incidentalmente, ciò avviene implicitamente e senza interazione dell'utente. E 'un' caratteristica.)’
Di BARBONCINO bug modo di agire
Di solito appare quando qualcuno utilizza una connessione Wi-Fi pubblica non protetta e non è molto probabile che accada se sei a casa, utilizzando Wi-Fi Protected collegamento. Utilizza la cosiddetta tecnica Man-in-the-Middle. Se sei seduto in un cyber café o in un altro posto con Wi-Fi non garantito, per esempio, un hacker seduto accanto a te, utilizzando la stessa connessione non protetta, può forzare la rete di downgrade a SSL 3.0, essendo così in grado di navigare in giro per gli stessi luoghi che stai visitando su Internet in questo momento. La tecnologia non è in grado di rubare le password o altri dati user-verifica, ma se qualcuno seduto accanto a te può vedere quello che si vede nel momento in cui possono navigare intorno alle vostre e-mail, Facebook, o messaggi di Twitter senza problemi.
Protezione da attacchi BARBONCINO
Ci sono alcune cose che potete fare per proteggere voi stessi ei vostri dati da tali attacchi.
- Prima di tutto, non inserire siti contenenti informazioni personali sui luoghi con connessione Wi-Fi, se possibile. Se proprio dovete farlo, utilizzare la protezione VPN, se possibile, essi non sono utilizzati solo per il lavoro più e con un po 'di orientamento chiunque può stabilire tale connessione.
- Secondo, stare attenti a quali siti stai visitando quando si utilizzano connessioni non protette. Gli aggressori hanno bisogno di un codice Java-script appositamente progettato per il downgrade a SSL 3.0 e accedere alle vostre informazioni e in grado di indurre l'utente a visitare tali siti, se possibile.
- La terza e la massima soluzione per voi è quella di disabilitare il SSL 3.0 certificato dal browser che si sta utilizzando. Nel loro successivo rilascio su 25 Novembre quest'anno Mozilla lo rimuoverà per impostazione predefinita.
Google al momento lo sta cancellando dal codice di Chrome. Utilizzando le versioni più tardi IE6 di Microsoft potrebbe anche risolvere il problema, Microsoft ha anche pubblicato un guida ufficiale come rimuoverlo dal browser te. Si dice che Safari di Apple lo rimuoverà nella prossima versione, ma sfortunatamente, nessuna informazione ufficiale è stata trovata.
Ci sono due pagine testare se sei vulnerabile a BARBONCINO o non – poodletest.com e poodle.io. In realtà sono abbastanza divertenti e contengono guide su come procedere anche se sei vulnerabile. Prova a controllarli e a riparare i tuoi browser - vale la pena!
