Video: Fare il bagno al barboncino (Settembre 2024)
I ricercatori hanno scoperto un'altra grave vulnerabilità in Secure Sockets Layer (SSL) che influenza il modo in cui le nostre informazioni e comunicazioni sono protette online. La buona notizia è che puoi prendere misure specifiche per bloccare gli attacchi sfruttando questo difetto.
I ricercatori di Google Bodo Möller, Thai Duong e Krzysztof Kotowicz hanno delineato i dettagli dell'attacco di Padding Oracle On Downgraded Legacy Encryption (POODLE) in un avviso di sicurezza pubblicato su OpenSSL.org. La vulnerabilità è in SSL 3.0, introdotto nel 1996 e sostituito da Transport Layer Security (TLS) nel 1999. Poodle sfrutta il fatto che i client, inclusi i browser Web, eseguiranno il downgrade ai protocolli meno recenti, meno sicuri, se non è in grado di stabilire una connessione sicura. Il downgrade può essere innescato da problemi di rete e da aggressori attivi.
"Poiché un utente malintenzionato della rete può causare errori di connessione, può innescare l'uso di SSL 3.0 e quindi sfruttare questo problema", ha scritto Möller sul blog del team di sicurezza online di Google martedì pomeriggio.
Poodle espone i cookie di sessione. Gli utenti malintenzionati non otterranno la password dell'utente per gli account di posta elettronica o altri servizi online, ma potranno comunque accedere come utente finché il cookie di sessione è valido. "Pertanto, mentre sei su Starbucks, alcuni hacker accanto a te saranno in grado di pubblicare tweet nel tuo account Twitter e leggere tutti i tuoi messaggi Gmail", ha dichiarato Robert Graham di Errata Security.
Prima linea di difesa
L'attacco del barboncino si basa sull'avversario che in primo luogo imposta un attacco man-in-the-middle per prendere il controllo della connessione Internet della vittima. Un modo per farlo è quello di impostare un punto di accesso Wi-Fi dannoso in un luogo pubblico come un coffeeshop. Gli aggressori devono anche essere in grado di eseguire il codice Javascript all'interno del browser della vittima.
"Richiede che qualcuno sia un uomo al centro per sfruttare. Ciò significa che probabilmente sei al sicuro dagli hacker a casa, anche se non al sicuro dalla NSA. Tuttavia, quando sei nello Starbucks locale o in un altro Wi-Fi non crittografato, tu sono in grave pericolo da questo hack ", ha scritto Graham.
Quindi ci sono già alcune cose che puoi fare per impedire il successo di potenziali attacchi Poodle. Come abbiamo detto più volte, non saltate volenti o nolenti su reti Wi-Fi pubbliche o reti ospiti gestite da persone che non conoscete. Anche se non sei preoccupato per Poodle, gli attacchi man-in-the-middle sono seri e ti proteggi facendo attenzione a quali reti ti colleghi.
Se devi accedere a una rete pubblica, usa VPN, sia dal tuo posto di lavoro che da uno dei tanti servizi VPN disponibili. Ce ne sono alcuni là fuori, come PrivateInternetAccess, CyberGhostVPN e HotSpot Shield di AnchorFree, solo per citarne alcuni.
Gli aggressori probabilmente indurranno gli utenti a visitare una pagina Web dannosa progettata per eseguire codice Javascript appositamente predisposto. Fai attenzione ai siti che visiti e fai attenzione ai siti di phishing.
Perché abbiamo ancora SSL 3.0?
La maggior parte dei server e applicazioni moderni utilizza TLS 1.1 o 1.2, ma SSL 3.0 è ancora ampiamente utilizzato per supportare applicazioni e sistemi legacy. Internet Explorer 6 è un buon esempio. Sebbene IE 6 non sia più visibile come una volta, è rimasto in giro per un bel po 'di tempo, quindi un certo numero di server e applicazioni sono stati creati per supportare SSL 3.0 insieme al TLS più sicuro. Netcraft ha stimato che quasi il 97 percento dei server Web SSL potrebbe essere vulnerabile.
"Oggi potresti praticamente ucciderlo nella maggior parte dei luoghi", ha scritto il ricercatore di sicurezza Troy Hunt, ma questo è solo una parte del problema in quanto vi sono client là fuori che possono dipendere dalla capacità di ricorrere a SSL 3.0. Non sappiamo quali siano, rendendo le aziende meno disposte a staccare la spina. Ad esempio, ci sono stati rapporti di Twitter secondo cui MetroTwit, un popolare client Twitter per Windows, si è basato su SSL 3.0 e ha smesso di funzionare dopo che Twitter ha disabilitato il supporto SSL 3.0 martedì sera (MetroTwit ha rilasciato un aggiornamento rapido, quindi, è necessario aggiornare il client).
"È l'incertezza che mantiene vive queste tecnologie di prima generazione", ha dichiarato Hunt.
Risolvi il problema del browser
Utilizzare un browser Web moderno e conforme agli standard. Mozilla disabiliterà SSL 3.0 per impostazione predefinita nella prossima versione di Firefox, prevista per il 25 novembre, e Google lo sta cancellando da Chrome. Safari abilita automaticamente SSL, ma Apple non ha ancora ponderato i suoi piani per il browser. Microsoft ha pubblicato un avviso con le istruzioni sulla disabilitazione di SSL 3.0 da desktop e server Windows.
"Non c'è bisogno di odiare Microsoft, come farà Internet Explorer 10 o 11", ha dichiarato Garve Hays, architetto di soluzioni con NetIQ.
È possibile disattivare manualmente SSL 3.0 in IE deselezionando la casella SSL 3.0 sotto le schede Avanzate nel menu Opzioni Internet. Gli utenti di Firefox devono andare su about.config sul browser e modificare il valore di security.tls.version.min su 1. Possono anche scaricare un componente aggiuntivo Mozilla per disabilitare SSL 3.0. Gli utenti Chrome che desiderano disabilitare SSL 3.0 possono aggiungere il flag della riga di comando --ssl-version-min = tls1 al browser.
Gli utenti di Safari dovranno attendere un aggiornamento, ogni volta che arriva. Stare temporaneamente fuori da Safari ridurrà la probabilità di un attacco Poodle.
Quando Microsoft ha smesso di supportare Windows XP ad aprile, c'erano ancora delle prese che sostenevano di non vedere un motivo per l'aggiornamento al sistema operativo. Se quegli utenti utilizzano ancora Internet Explorer 6, inizieranno a vedere le cose rompersi online. CloudFlare ha disabilitato SSL 3.0 per impostazione predefinita per tutti i siti che ospita, inclusi i 2 milioni di siti che utilizzano il piano gratuito. Questa decisione avrà un impatto su meno dell'1 percento di tutto il traffico verso i suoi siti, ha detto Cloudflare. È probabile che molte aziende seguano l'esempio di Twitter e disattivino il supporto sui loro siti. Se usi ancora IE 6 o Windows XP, devi davvero aggiornare.
"Se stai eseguendo IE 6 oggi (sì, ce ne sono ancora alcuni) e non hai scelta per l'aggiornamento perché" ragioni ", sei pieno", ha scritto Hunt.
