  |
Za poslednú hodinu: 96 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Piatok, 19. apríla 2024, dnes má meniny Jela |
|
V protokole SSL nájdená vážna chyba, vypnite si verziu 3.0 v prehliadači
bezpečnosť
Trojica výskumníkov zo spoločnosti Google v noci na dnes informovala o objavení vážnej bezpečnostnej zraniteľnosti v samotnom návrhu protokolu SSL verzie 3.0, ktorá umožňuje realizovať útok na zašifrované spojenia a získať odšifrované dáta. POODLEÚtok označený POODLE, Padding Oracle On Downgraded Legacy Encryption, nie je úplne novým typom útokov na SSL a podobá sa na útok BEAST objavený v roku 2011.Na rozdiel od útoku BEAST, pri ktorom bolo možné upraviť implementácie SSL a útoku zabrániť, nie je podľa autorov útoku POODLE proti tomuto útoku efektívna obrana a jedinou obranou je vyhnúť sa používaniu SSL 3.0. SSL 3.0 je v súčasnosti už starou verziou SSL protokolu, ktorá bola nahradená novšími verziami označenými TLS 1.0, 1.1 a 1.2. Z dôvodu kompatibility je ale stále široko podporovaná a komunikujúce strany na ňu prechádzajú, ak nedokážu úspešne nadviazať spojenie vyššou verziou. Takýto prechod dokáže vynútiť aj útočník schopný modifikovať dátovú prevádzku medzi užívateľom a SSL / HTTPS serverom. Zraniteľnosť respektíve efektívny útok POODLE umožňujú útočníkovi pri opakovanom zasielaní tých istých dát postupne hádať jednotlivé bajty. POODLE útočí na využívanie symetrických šifier v blokovom režime CBC, konkrétne na dopĺňanie šifrovaných dát na celý násobok veľkosti bloku a špecificky na takéto doplnenie celým blokom výplňových bajtov. Pri vynútení takéhoto doplnenia šifrovaných dát môže útočník skúsiť uhádnuť hodnotu jedného bajtu v pôvodných dátach, nachádzajúceho sa na pozícii posledného bajtu v niektorom bloku dát. Dosahuje to odoslaním zašifrovaného bloku s týmto bajtom aj namiesto posledného bloku s výplňovými bajtami, pričom na uhádnutie jedného bajtu odšifrovaných dát tak potrebuje 256 pokusov. Útok na HTTPSÚtočník musí pre zrealizovanie útoku dokázať jednak opakovane iniciovať odosielanie rovnakých dát a jednak musí mať schopnosť aktívne meniť dátovú prevádzku medzi užívateľom a serverom. Hoci tieto podmienky komplikujú zrealizovanie útoku, jednoducho je ich možné dosiahnuť napríklad infikovaním routera užívateľov a útok je tak relatívne jednoducho zrealizovateľný aj proti bežným domácim užívateľom a to bez infikovania ich plne zabezpečeného PC.Ďalším praktickým spôsobom útoku je podstrčiť užívateľom WiFi prístupový bod pod kontrolou útočníkov a reálne sú samozrejme aj ďalšie scenáre, napríklad útoky realizované zamestnancami poskytovateľov pripojenia a tajnými službami. Útok je účinný potenciálne proti akejkoľvek komunikácii cez SSL 3.0, najčastejším a najviac zvažovaným scenárom je útok na komunikáciu užívateľa so servermi poskytujúcimi zabezpečené HTTPS stránky. Z takejto komunikácie dokáže útok podobne ako iné predchádzajúce útoky na SSL efektívne získať cookies. Útočník napríklad vložením JavaScriptu do akejkoľvek nešifrovanej stránky dokáže iniciovať HTTPS požiadavky potrebnej štruktúry na stránku, pre ktorú chce získať údaje užívateľa. Tieto požiadavky umožňujú postupne hádať jednotlivé bajty cookies, samozrejme v spolupráci s kódom modifikujúcim dátovú prevádzku užívateľa. Cookies následne útočníkovi umožňujú prevziať session užívateľa a získať prístup do jeho účtov. OdporúčaniaUžívateľom je v prvom rade odporúčané sa vyhnúť používaniu webového prehliadača podporujúceho SSL 3.0, ktorý môže útočník donútiť prejsť na túto verziu z novších verzií TLS. Otestovať si prítomnosť podpory SSL 3.0 je možné na tejto stránke.Mozilla úplne vypne SSL 3.0 vo Firefoxe 34 plánovanom na november, manuálne je možné podporu SSL 3.0 vypnúť pomocou nastavenia security.tls.version.min na hodnotu 1 alebo pomocou tohto rozšírenia. Google začal v Chrome používať príznak TLS_FALLBACK_SCSV, ktorý indikuje aby server neprešiel na nižšie verzie protokolu a ktorý spoločnosť v súčasnosti považuje za odporúčané riešenie. Spoločnosť avizuje úplné vypnutie SSL 3.0 v Chrome v nasledujúcich mesiacoch, užívatelia, ktorí si chcú SSL 3.0 vypnúť už teraz, tak zatiaľ môžu spraviť pomocou voľby v príkazovom riadku --ssl-version-min=tls1. Návod ako túto voľbu nastaviť je možné nájsť na zmap.io/sslv3/. V Internet Exploreri je možné podporu SSL 3.0 vypnúť v rozšírených nastaveniach internetových nastavení. 
Najnovšie články: inzercia Diskusia:
Pridať komentár | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
