Video: Hondentraining: Samenwerken, samen spelen. Op afstand. (November 2024)
Onderzoekers hebben een andere ernstige kwetsbaarheid in SSL (Secure Sockets Layer) ontdekt die van invloed is op de manier waarop onze informatie en communicatie online worden beveiligd. Het goede nieuws is dat u specifieke stappen kunt nemen om aanvallen te blokkeren die van deze fout gebruikmaken.
Google-onderzoekers Bodo Möller, Thai Duong en Krzysztof Kotowicz schetsten de details van de Padding Oracle On Downgraded Legacy Encryption-aanval (POODLE) in een beveiligingsadvies op OpenSSL.org. Het beveiligingslek zit in SSL 3.0, dat in 1996 werd geïntroduceerd en in 1999 werd vervangen door Transport Layer Security (TLS). Poodle profiteert van het feit dat clients - inclusief webbrowsers - zullen downgraden naar de oudere, minder veilige protocollen als het kan geen beveiligde verbinding tot stand brengen. De downgrade kan worden geactiveerd door netwerkstoringen en door actieve aanvallers.
"Omdat een netwerkaanvaller verbindingsfouten kan veroorzaken, kan deze het gebruik van SSL 3.0 activeren en vervolgens misbruik maken van dit probleem", schreef Möller dinsdagmiddag op het blog van het Google Online Security Team.
Poedel onthult sessiecookies. De aanvallers krijgen het wachtwoord van de gebruiker niet voor e-mailaccounts of andere online services, maar kunnen zich nog steeds aanmelden als de gebruiker zolang de sessiecookie geldig is. "Dus terwijl je bij Starbucks bent, zal een hacker naast je tweets in je Twitter-account kunnen plaatsen en al je Gmail-berichten kunnen lezen, " zei Robert Graham van Errata Security.
Eerste verdedigingslinie
De aanval met de poedel is afhankelijk van het feit dat de tegenstander eerst een man-in-the-middle-aanval uitvoert om de internetverbinding van het slachtoffer in handen te krijgen. Een manier om dat te doen is om een kwaadaardig Wi-Fi-toegangspunt in te stellen op een openbare locatie zoals een coffeeshop. Aanvallers moeten ook JavaScript-code kunnen uitvoeren in de browser van het slachtoffer.
"Het vereist dat iemand een man-in-the-middle is om te exploiteren. Dit betekent dat je waarschijnlijk veilig bent tegen hackers thuis, maar niet veilig voor de NSA. Echter, wanneer je bij de lokale Starbucks of andere niet-versleutelde wifi bent, moet je zijn in groot gevaar door deze hack, "schreef Graham.
Er zijn dus al een paar dingen die je kunt doen om te voorkomen dat potentiële poedelaanvallen slagen. Zoals we keer op keer hebben gezegd, spring niet zomaar op openbare Wi-Fi-netwerken of gastnetwerken die worden beheerd door mensen die je niet kent. Zelfs als je je geen zorgen maakt over Poodle, zijn man-in-the-middle-aanvallen ernstig en bescherm je jezelf door voorzichtig te zijn met welke netwerken je verbinding maakt.
Als u toegang wilt krijgen tot een openbaar netwerk, gebruikt u VPN, vanaf uw werkplek of een van de vele beschikbare VPN-services. Er zijn er nogal wat, zoals PrivateInternetAccess, CyberGhostVPN en het HotSpot Shield van AnchorFree, om er maar een paar te noemen.
Aanvallers zullen gebruikers waarschijnlijk misleiden om een kwaadaardige webpagina te bezoeken die is ontworpen om speciaal vervaardigde Javascript-code uit te voeren. Wees voorzichtig met welke sites u bezoekt en wees op zoek naar phishing-sites.
Waarom hebben we nog SSL 3.0?
De meeste moderne servers en applicaties maken gebruik van TLS 1.1 of 1.2, maar SSL 3.0 wordt nog steeds veel gebruikt om oudere applicaties en systemen te ondersteunen. Internet Explorer 6 is een goed voorbeeld. Hoewel IE 6 niet meer zo zichtbaar is als vroeger, bleef het behoorlijk lang hangen, dus een behoorlijk aantal servers en applicaties werden gebouwd om SSL 3.0 te ondersteunen, samen met het veiligere TLS. Netcraft schat dat bijna 97 procent van de SSL-webservers waarschijnlijk kwetsbaar is.
"Je zou het tegenwoordig vrijwel overal kunnen doden, " schreef beveiligingsonderzoeker Troy Hunt, maar dat is slechts een deel van het probleem, want er zijn clients die kunnen afhangen van de mogelijkheid om terug te vallen op SSL 3.0. We weten niet welke ze zijn, waardoor bedrijven minder bereid zijn om gewoon de stekker eruit te trekken. Er waren bijvoorbeeld Twitter-berichten dat MetroTwit, een populaire Twitter-client voor Windows, afhankelijk was van SSL 3.0 en stopte met werken nadat Twitter dinsdagavond SSL 3.0-ondersteuning had uitgeschakeld (MetroTwit heeft trouwens een hotfix uitgebracht, dus je moet je client bijwerken).
"Het is de onzekerheid die deze vroege generatie technologieën in leven houdt, " zei Hunt.
Los het browserprobleem op
Gebruik een moderne, aan standaarden compatibele webbrowser. Mozilla schakelt SSL 3.0 standaard uit in de volgende versie van Firefox, naar verwachting 25 november, en Google verwijdert het van Chrome. Safari schakelt SSL automatisch in, maar Apple moet zijn plannen voor de browser nog wegen. Microsoft heeft een advies geplaatst met instructies voor het uitschakelen van SSL 3.0 van Windows-desktops en servers.
"Microsoft hoeft geen hekel te hebben, zoals Internet Explorer 10 of 11", zegt Garve Hays, een oplossingenarchitect bij NetIQ.
U kunt SSL 3.0 in IE handmatig uitschakelen door het selectievakje SSL 3.0 onder de geavanceerde tabbladen in het menu Internetopties uit te schakelen. Firefox-gebruikers moeten naar about.config in de browser gaan en de waarde voor security.tls.version.min wijzigen in 1. Ze kunnen ook een Mozilla-add-on downloaden om SSL 3.0 uit te schakelen. Chrome-gebruikers die SSL 3.0 willen uitschakelen, kunnen de opdrachtregelvlag --ssl-version-min = tls1 toevoegen aan de browser.
Safari-gebruikers zullen op een update moeten wachten wanneer deze komt. Als u tijdelijk uit Safari blijft, neemt de kans op een poedelaanval af.
Toen Microsoft in april stopte met het ondersteunen van Windows XP, waren er nog steeds holdouts die beweerden dat ze geen reden zagen om te upgraden naar het besturingssysteem. Als die gebruikers nog steeds Internet Explorer 6 gebruiken, gaan ze dingen online zien breken. CloudFlare heeft SSL 3.0 standaard uitgeschakeld voor alle sites die het host, inclusief de 2 miljoen sites die het gratis abonnement gebruiken. Deze beslissing zal minder dan 1 procent van al het verkeer naar zijn sites beïnvloeden, aldus Cloudflare. Veel bedrijven volgen waarschijnlijk het voorbeeld van Twitter en schakelen ondersteuning op hun sites uit. Als u nog steeds IE 6 of Windows XP gebruikt, moet u echt upgraden.
"Als je vandaag IE 6 gebruikt (ja, er zijn er nog enkele) en je hebt geen keus in upgraden omdat 'redenen', je bent vol, " schreef Hunt.
