Επίλυση Όλων Των Προβλημάτων Των Παραθύρων Και Άλλων Προγραμμάτων

Ειδικοί ασφαλείας προειδοποιούν για επίθεση «POODLE» κατά SSL 3.0

Οι ερευνητές της Google βρήκαν ένα σοβαρό ελάττωμα σε ένα απαρχαιωμένο αλλά χρησιμοποιούμενο λογισμικό κρυπτογράφησης, το οποίο θα μπορούσε να αξιοποιηθεί για να κλέψει ευαίσθητα δεδομένα.

Το ελάττωμα στο SSL 3.0 είναι άνω των 15 ετών, αλλά εξακολουθεί να χρησιμοποιείται από τα σύγχρονα προγράμματα περιήγησης ιστού και διακομιστές. Το SSL σημαίνει 'Secure Sockets Layer', το οποίο κρυπτογραφεί δεδομένα μεταξύ πελάτη και διακομιστή και διασφαλίζει τα περισσότερα από τα δεδομένα που αποστέλλονται μέσω Διαδικτύου.



Οι Bodo Möller, Thai Duong και Krzysztof Kotowicz της Google ανέπτυξαν μια επίθεση που ονομάζεται 'POODLE', η οποία σημαίνει Padding Oracle On Downgraded Legacy Encryption, σύμφωνα με την ερευνητική εργασία Ε

Τα προγράμματα περιήγησης ιστού έχουν σχεδιαστεί για να χρησιμοποιούν νεότερες εκδόσεις SSL ή TLS (Transport Layer Security), αλλά τα περισσότερα προγράμματα περιήγησης θα διαθέτουν SSL 3.0, αν αυτό είναι το μόνο που μπορεί να κάνει ένας διακομιστής στο άλλο άκρο.

microsoft vc90

Η επίθεση POODLE μπορεί να εξαναγκάσει μια σύνδεση σε 'εφεδρική' με το SSL 3.0, όπου στη συνέχεια είναι δυνατή η κλοπή cookie, τα οποία είναι μικρά αρχεία δεδομένων που επιτρέπουν την επίμονη πρόσβαση σε μια διαδικτυακή υπηρεσία. Σε περίπτωση κλοπής, ένα cookie θα μπορούσε να επιτρέψει σε έναν εισβολέα να αποκτήσει πρόσβαση στον λογαριασμό ηλεκτρονικού ταχυδρομείου κάποιου, για παράδειγμα, στο Web.

Ένας επιτιθέμενος θα πρέπει να ελέγξει το δίκτυο στο οποίο είναι συνδεδεμένο ένα θύμα για να πραγματοποιήσει αυτού του είδους την επίθεση στο μέσο. Αυτό μπορεί να είναι δυνατό σε δημόσιο χώρο, όπως μέσω δικτύου Wi-Fi σε αεροδρόμιο.

Οι ειδικοί ασφάλειας γνωρίζουν εδώ και καιρό ότι το SSL 3.0 ήταν προβληματικό. Ο Μάθιου Γκριν, κρυπτογράφος και ερευνητής καθηγητής στο Πανεπιστήμιο Τζονς Χόπκινς, έγραψε πάνω του Ιστολόγιο ότι πολλοί διακομιστές εξακολουθούν να υποστηρίζουν SSL 3.0 αφού δεν ήθελαν να αποκλείσουν τους χρήστες του Internet Explorer 6, ένα παλιό αλλά ακόμα χρησιμοποιούμενο πρόγραμμα περιήγησης.

'Το πρόβλημα με την προφανή λύση είναι ότι η γηράσκουσα υποδομή μας στο Διαδίκτυο είναι ακόμα φορτωμένη με χάλια προγράμματα περιήγησης και διακομιστές που δεν μπορούν να λειτουργήσουν χωρίς υποστήριξη SSLv3', έγραψε ο Green.

«Οι προμηθευτές προγράμματος περιήγησης δεν θέλουν οι πελάτες τους να χτυπάνε σε κενό τοίχο οποτεδήποτε έχουν πρόσβαση σε διακομιστή ή εξισορροπητή φορτίου που υποστηρίζει μόνο SSLv3, έτσι επιτρέπουν την εναλλακτική λύση», έγραψε.

Η Google έχει ήδη λάβει μέτρα για να σταματήσει να γίνονται κρυπτογραφημένες συνδέσεις χρησιμοποιώντας λιγότερο ασφαλείς εκδόσεις SSL και TLS.

Ο Adam Langley, ο οποίος εργάζεται στο πρόγραμμα περιήγησης Chrome της Google, έγραψε στο δικό του Ιστολόγιο ότι οι συνδέσεις που γίνονται μέσω του Chrome στην υποδομή της Google χρησιμοποιούν έναν μηχανισμό που ονομάζεται «TLS_FALLBACK_SCSV», ο οποίος αποτρέπει την υποβάθμιση.

'Προτρέπουμε τους χειριστές διακομιστών και άλλα προγράμματα περιήγησης να το εφαρμόσουν επίσης', έγραψε ο Langley. «Δεν προστατεύει απλώς από αυτήν τη συγκεκριμένη επίθεση, αλλά λύνει το εφεδρικό πρόβλημα γενικά».

Η Google ετοιμάζει μια ενημερωμένη έκδοση κώδικα για το Chrome που θα απαγορεύει την επιστροφή στο SSL 3.0 για όλους τους διακομιστές, αλλά «αυτή η αλλαγή θα σπάσει τα πράγματα και έτσι δεν πιστεύουμε ότι μπορούμε να το μεταφέρουμε κατευθείαν στο σταθερό κανάλι του Chrome. Αλλά ελπίζουμε να το φτάσουμε εκεί μέσα σε εβδομάδες και έτσι θα πρέπει να ενημερωθούν οι διακομιστές σφάλματος που λειτουργούν αυτήν τη στιγμή μόνο λόγω του εφεδρικού SSL 3.0 ».

Οι μεγάλες εταιρείες διαδικτύου κάνουν ήδη προσαρμογές για να αποτρέψουν μια επίθεση POODLE. Το CloudFlare, το οποίο διαθέτει μια ευρέως χρησιμοποιούμενη υπηρεσία προσωρινής αποθήκευσης, έχει απενεργοποιήσει το SSL 3.0 στο δίκτυό του από προεπιλογή για όλους τους πελάτες του, έγραψε Διευθύνων Σύμβουλος Μάθιου Πρίνς.

'Αυτό θα έχει αντίκτυπο σε ορισμένα παλαιότερα προγράμματα περιήγησης, με αποτέλεσμα σφάλμα σύνδεσης SSL', έγραψε ο Prince. 'Ο μεγαλύτερος αντίκτυπος είναι ο Internet Explorer 6 που λειτουργεί σε Windows XP ή παλαιότερα.'

Ο Prince έγραψε ότι μόλις το 0,65 τοις εκατό της κρυπτογραφημένης επισκεψιμότητας HTTPS στο δίκτυο του CloudFlare χρησιμοποιεί SSL 3.0. «Τα καλά νέα είναι ότι το μεγαλύτερο μέρος της επισκεψιμότητας είναι η επίθεση στην κίνηση και μερικοί μικροί ανιχνευτές», έγραψε.

Στείλτε συμβουλές ειδήσεων και σχόλια στο jeremy_kirk@idg.com. Ακολουθήστε με στο Twitter: @jeremy_kirk

Επιλογή Συντάκτη

Η HP αποστέλλει τα πρώτα tablet Windows 8.1 64-bit με Intel Atom

Μετά από μήνες αναμονής, ορισμένα από τα πρώτα tablet 64-bit με Windows 8.1 και τσιπ της Intel's Bay Trail ανακοινώθηκαν από τη Hewlett-Packard.

Η Amazon εξαγοράζει τον προγραμματιστή παιχνιδιών Double Helix Games

Το Amazon.com απέκτησε το στούντιο παιχνιδιών Double Helix Games στο πλαίσιο της στρατηγικής του για την ενίσχυση των παιχνιδιών που προσφέρει στους πελάτες.

Ο δημιουργός του Pretty Good Privacy παραιτείται από το Network Associates

Ο Philip Zimmermann, εφευρέτης του ευρέως χρησιμοποιούμενου πρωτοκόλλου κρυπτογράφησης Pretty Good Privacy (PGP), είπε ότι αυτός και οι Network Associates δεν συμφωνούν πλέον για το μέλλον του PGP.

Η Adobe σκότωσε την ιστορία «Το iPad δεν είναι παραγωγικό»

Η απόφαση της Adobe να τοποθετήσει τις δημιουργικές της εφαρμογές σε iPad σημαίνει ότι δεν υπάρχει πλέον καμία απολύτως δικαιολογία για να υποστηρίξει κανείς ότι τα iPad δεν είναι παραγωγικές συσκευές.

Πώς να χρησιμοποιήσετε το εντοπισμό και το grep για να βρείτε αρχεία σε σύστημα Linux (ή OS X)

Το Linux διαθέτει ισχυρά εργαλεία για να σας βοηθήσει να ανακτήσετε γρήγορα και αποτελεσματικά ένα αρχείο. Αυτή η δωρεάν λήψη PDF θα σας δείξει πώς να χρησιμοποιήσετε δύο από τα πιο χρήσιμα.