Google onderzoekers Bodo Möller, Thai Duong & Krzysztof Kotowicz heeft gisteren aangekondigd dat ze onlangs hebben ontdekt Padding Oracle On Downgraded Legacy Encryption, bekend als POODLE, zijn aanval op de SSL 3.0 versie van de openbare encryptiesleutel die Microsoft opnieuw in 1996. In 1999 de toets werd vervangen door een nieuwere versie, bekend onder de naam TLS 1.0, twee komende daarna (TLS 1.1 & TLS 1.2) maar de overgrote meerderheid van websites en browsers gebruikt nog steeds de oudere, minder veilige versie van het certificaat. Wat POODLE doet, is profiteren wanneer iemand downgradet naar de oudere versie als er geen veilige verbinding tot stand kan worden gebracht. De downgrade kan worden geactiveerd door het netwerk glitches of live-aanvallen van hackers en.
Waarom is iedereen nog steeds met SSL 3.0 When It's Almost 20 Jaar oud?
'Het probleem is dat het internet heeft een hele hoop bewegende delen die onafhankelijk van elkaar evolueren. ", beveiligingsonderzoeker Troy Hunt zegt. …. 'En zo is het met SSL; wanneer twee partijen (bijvoorbeeld een browser en een server) bevinden zich in verschillende stadia van de evolutie en bieden ondersteuning voor verschillende versies, ze konden ofwel gooien hun handen omhoog en zeggen: 'We kunnen gewoon niet met elkaar opschieten’ of ze kunnen beschadigen en vallen terug naar een gewone versie kunnen ze zowel ondersteuning. De laatste het bruikbare zodat is wat vaak gebeurt. (Overigens, dit gebeurt impliciet en zonder interactie van de gebruiker. Het is een 'functie.)’
POODLE's bug manier van handelen
Het verschijnt meestal wanneer iemand een niet-beveiligde openbare Wi-Fi-verbinding gebruikt en het is niet erg waarschijnlijk dat dit gebeurt als je thuis bent, met behulp van Wi-Fi-verbinding beschermd. Het maakt gebruik van de zogenaamde Man-in-the-Middle-techniek. Als je in een cybercafé of een andere plaats zit met onbeveiligde wifi, bijvoorbeeld, Een hacker die naast je zit, met behulp van dezelfde onbeveiligde verbinding, kan het netwerk te dwingen om te downgraden naar SSL 3.0, waardoor ze zo goed in staat om op dezelfde plaatsen die u bezoekt via het internet op het moment om te bladeren. De technologie is niet in staat om wachtwoorden of andere gebruiker gegevens voor het verifiëren, maar als iemand naast je kan zien wat je ziet op het moment dat ze kunnen rondkijken uw e-mails te stelen, Facebook, of Twitter-berichten zonder problemen.
Bescherming tegen POODLE Attacks
Er zijn een paar dingen die je kunt doen om jezelf te beschermen en uw gegevens tegen dergelijke aanvallen.
- Allereerst, denk sites met persoonlijke informatie niet in op plaatsen met gratis Wi-Fi indien mogelijk. Als je echt moet doen, Gebruik VPN bescherming indien mogelijk, Ze zijn niet langer alleen gebruikt voor het werk meer en met een beetje begeleiding kan iedereen dergelijke verbinding tot stand brengen.
- Tweede, wees voorzichtig met wat sites die u bezoekt wanneer het gebruik van onbeveiligde verbindingen. Aanvallers hebben een speciaal ontworpen Java-script code te downgraden naar SSL 3.0 en toegang tot uw gegevens en kunt u te verleiden tot het bezoeken van dergelijke sites, indien mogelijk.
- De derde en de grootst mogelijke oplossing voor u is om de SSL uit te schakelen 3.0 certificaat van de browsers die u gebruikt. In hun volgende release op 25 November dit jaar gaat Mozilla het standaard verwijderen.
Google schrapt het momenteel uit de code van Chrome. Met behulp van versies later dan Microsoft's IE6 ook de kwestie zou oplossen, Microsoft heeft ook een officiële gids hoe je het vanuit de browser zelf te verwijderen. Het gerucht gaat dat Apple's Safari het in de volgende release zal verwijderen, maar helaas, er werd geen officiële informatie gevonden.
Er zijn twee pagina's te testen of u kwetsbaar voor POODLE of niet zijn – poodletest.com en poodle.io. Ze zijn eigenlijk best grappig en bevatten handleidingen over hoe je verder moet gaan als je ook kwetsbaar bent. Probeer ze eens uit en repareer uw browsers - het is de moeite waard!