视频: ® å ∂ i ø å ç † i √ £ (十二月 2024)
研究人员发现了安全套接字层(SSL)中的另一个严重漏洞,该漏洞会影响我们的信息和通信在线保护的方式。 好消息是您可以采取特定步骤来阻止利用此漏洞的攻击。
Google研究人员BodoMöller,Thai Duong和Krzysztof Kotowicz在OpenSSL.org上发布的安全公告中概述了对Oracle进行降级传统加密(POODLE)攻击的细节。 该漏洞存在于1996年引入的SSL 3.0中,并于1999年被传输层安全性(TLS)所取代。Poodle利用了以下事实:如果客户端(包括Web浏览器)将降级到较旧,安全性较低的协议,无法建立安全连接。 网络故障以及活动的攻击者都可能触发降级。
“由于网络攻击者可能导致连接失败,因此他们可以触发SSL 3.0的使用,然后利用此问题,”莫勒在星期二下午在Google在线安全小组博客上写道。
贵宾犬公开会话cookie。 攻击者不会将用户的密码获取到电子邮件帐户或其他在线服务,但只要会话cookie有效,它们仍将能够以用户身份登录。 “因此,当您在星巴克时,旁边的黑客将能够在您的Twitter帐户中发布推文并阅读所有Gmail邮件,”勘误安全组织的罗伯特·格雷厄姆(Robert Graham)说。
第一道防线
贵宾犬(Poodle)攻击依靠对手首先进行中间人攻击来控制受害者的Internet连接。 一种方法是在咖啡店等公共场所设置恶意的Wi-Fi接入点。 攻击者还需要能够在受害者的浏览器中运行Javascript代码。
“这需要有人成为中间人才能利用。这意味着您可能对家里的黑客安全,尽管对NSA并不安全。但是,在本地的星巴克或其他未加密的Wi-Fi时,您受到这次黑客攻击的威胁极大,”格雷厄姆写道。
因此,您已经可以采取一些措施来阻止潜在的贵宾犬攻击成功。 正如我们一次又一次地说过的,不要随意跳到公共Wi-Fi网络或由您不认识的人运营的访客网络上。 即使您不担心Poodle,中间人攻击也是严重的,并且您通过注意连接的网络来保护自己。
如果您需要进入公共网络,请使用VPN,无论是在您的工作场所中,还是从许多可用的VPN服务中进行。 那里有很多,例如PrivateInternetAccess,CyberGhostVPN和AnchorFree的HotSpot Shield,仅举几例。
攻击者可能会诱使用户访问旨在执行特制Javascript代码的恶意网页。 请注意您访问的网站,并注意钓鱼网站。
为什么我们仍然拥有SSL 3.0?
大多数现代服务器和应用程序使用TLS 1.1或1.2,但是SSL 3.0仍被广泛使用以支持旧版应用程序和系统。 Internet Explorer 6是一个很好的例子。 尽管IE 6不再像以前那样可见,但它徘徊了很长时间,因此构建了许多服务器和应用程序来支持SSL 3.0和更安全的TLS。 Netcraft估计有将近97%的SSL Web服务器很容易受到攻击。
安全研究员特洛伊·亨特(Troy Hunt)写道:“今天在大多数地方,您几乎可以杀死它。”但这只是问题的一部分,因为那里的客户可能取决于回退到SSL 3.0的能力。 我们不知道他们是谁,这使得公司不愿意仅仅拔掉插头。 例如,有Twitter报告称,Windows的流行Twitter客户端MetroTwit依赖SSL 3.0,并且在星期二晚上Twitter禁用SSL 3.0支持后停止工作(顺便说一下,MetroTwit已发布了一个修补程序,因此您应该更新客户端)。 。
亨特说:“正是不确定因素使这些早期技术得以存活。”
解决浏览器问题
使用现代的,符合标准的Web浏览器。 Mozilla将在预计于11月25日发布的下一版Firefox中默认禁用SSL 3.0,而Google将从Chrome清除它。 Safari自动启用SSL,但Apple尚未考虑其浏览器计划。 Microsoft发布了一份通报,其中包含有关从Windows台式机和服务器禁用SSL 3.0的说明。
NetIQ的解决方案架构师Garve Hays说:“不需要像Internet Explorer 10或11那样讨厌Microsoft。”
您可以通过取消选中“ Internet选项”菜单中“高级”选项卡下的“ SSL 3.0”框,在IE中手动关闭SSL 3.0。 Firefox用户应在浏览器上转到about.config,并将 security.tls.version.min 的值更改为1。他们还可以下载Mozilla加载项以禁用SSL 3.0。 想要禁用SSL 3.0的Chrome用户可以向浏览器添加命令行标志 --ssl-version-min = tls1 。
Safari用户每次更新时都必须等待更新。 暂时不使用Safari,可以减少遭到贵宾犬攻击的可能性。
当微软在四月份停止支持Windows XP时,仍然有支持者声称他们没有看到升级到操作系统的理由。 如果这些用户仍在使用Internet Explorer 6,他们将开始看到联机中断的情况。 默认情况下,CloudFlare禁用了其托管的所有站点的SSL 3.0,包括使用免费计划的200万个站点。 Cloudflare说,这一决定将影响不到其网站所有流量的1%。 许多公司可能会效仿Twitter的示例,并关闭其站点上的支持。 如果仍然使用IE 6或Windows XP,则 确实 需要升级。
亨特写道:“如果您今天运行的是IE 6(是的,仍然有一些),并且由于“原因”,您没有升级的选择,那么您就塞满了。”
