Video: Cách chọn mua chó Poodle giá rẻ, đẹp và khoẻ mạnh (Tháng Chín 2024)
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng nghiêm trọng khác trong Lớp cổng bảo mật (SSL), ảnh hưởng đến cách thông tin và liên lạc của chúng tôi được bảo mật trực tuyến. Tin tốt là bạn có thể thực hiện các bước cụ thể để chặn các cuộc tấn công khai thác lỗ hổng này.
Các nhà nghiên cứu của Google Bodo Möller, Thái Dương và Krzysztof Kotowicz đã phác thảo chi tiết về cuộc tấn công Padding Oracle On Mã hóa di sản bị hạ cấp (POODLE) trong một tư vấn bảo mật được đăng trên OpenSSL.org. Lỗ hổng này là trong SSL 3.0, được giới thiệu vào năm 1996 và được thay thế bởi Transport Layer Security (TLS) vào năm 1999. Poodle lợi dụng thực tế là các máy khách của Trình duyệt Web có kèm theo Wap sẽ hạ cấp xuống các giao thức cũ hơn, kém an toàn hơn nếu nó không thể thiết lập kết nối an toàn. Việc hạ cấp có thể được kích hoạt bởi các trục trặc mạng cũng như những kẻ tấn công đang hoạt động.
"Vì kẻ tấn công mạng có thể gây ra lỗi kết nối, chúng có thể kích hoạt việc sử dụng SSL 3.0 và sau đó khai thác vấn đề này", Möller viết trên blog của Google Security Security Team vào chiều thứ ba.
Poodle lộ cookie phiên. Kẻ tấn công sẽ không nhận được mật khẩu của người dùng vào tài khoản email hoặc các dịch vụ trực tuyến khác, nhưng vẫn có thể đăng nhập với tư cách người dùng miễn là cookie phiên hợp lệ. "Do đó, khi bạn ở Starbucks, một số hacker bên cạnh bạn sẽ có thể đăng tweet trong tài khoản Twitter của bạn và đọc tất cả các tin nhắn Gmail của bạn", Robert Graham của Errata Security cho biết.
Tuyến phòng thủ đầu tiên
Cuộc tấn công Poodle dựa vào kẻ thù đầu tiên thiết lập một cuộc tấn công trung gian để giành quyền kiểm soát kết nối Internet của nạn nhân. Một cách để làm điều đó là thiết lập một điểm truy cập Wi-Fi độc hại ở một địa điểm công cộng như quán cà phê. Kẻ tấn công cũng cần có khả năng chạy mã Javascript bên trong trình duyệt của nạn nhân.
"Nó đòi hỏi ai đó phải là người trung gian để khai thác. Điều này có nghĩa là bạn có thể an toàn trước các tin tặc ở nhà, mặc dù không an toàn với NSA. Tuy nhiên, khi ở Starbucks địa phương hoặc Wi-Fi không được mã hóa khác, bạn đang gặp nguy hiểm nghiêm trọng từ vụ hack này, "Graham viết.
Vì vậy, đã có một vài điều bạn có thể làm để ngăn chặn các cuộc tấn công Poodle tiềm năng thành công. Như chúng ta đã nói hết lần này đến lần khác, đừng nhảy vào các mạng Wi-Fi công cộng hoặc mạng khách được điều hành bởi những người bạn không biết. Ngay cả khi bạn không lo lắng về Poodle, các cuộc tấn công trung gian là nghiêm trọng và bạn tự bảo vệ mình bằng cách cẩn thận với những mạng mà bạn kết nối.
Nếu bạn cần truy cập mạng công cộng, hãy sử dụng VPN, cho dù từ nơi làm việc của bạn hoặc bất kỳ dịch vụ VPN nào có sẵn. Có khá nhiều thứ ngoài kia, chẳng hạn như PrivateINETAccess, CyberGhostVPN và HotSpot Shield của AnchorFree, để kể tên một số.
Những kẻ tấn công có thể sẽ lừa người dùng truy cập vào một trang Web độc hại được thiết kế để thực thi mã Javascript được chế tạo đặc biệt. Hãy cẩn thận về những trang web bạn truy cập và cảnh giác với các trang web lừa đảo.
Tại sao chúng ta vẫn có SSL 3.0?
Hầu hết các máy chủ và ứng dụng hiện đại sử dụng TLS 1.1 hoặc 1.2, nhưng SSL 3.0 vẫn được sử dụng rộng rãi để hỗ trợ các ứng dụng và hệ thống cũ. Internet Explorer 6 là một ví dụ điển hình. Mặc dù IE 6 không hiển thị như trước đây, nhưng nó đã tồn tại khá lâu, do đó, khá nhiều máy chủ và ứng dụng được xây dựng để hỗ trợ SSL 3.0 cùng với TLS an toàn hơn. Netcraft ước tính gần 97 phần trăm máy chủ SSL Web có thể dễ bị tấn công.
"Bạn có thể giết chết nó ở hầu hết các nơi hiện nay", nhà nghiên cứu bảo mật Troy Hunt viết, nhưng đó chỉ là một phần của vấn đề vì có những khách hàng ngoài kia có thể phụ thuộc vào khả năng quay trở lại SSL 3.0. Chúng tôi không biết họ là ai, khiến các công ty không sẵn sàng chỉ rút phích cắm. Ví dụ, đã có báo cáo của Twitter rằng MetroTwit, một ứng dụng khách Twitter phổ biến cho Windows, đã dựa vào SSL 3.0 và ngừng hoạt động sau khi Twitter vô hiệu hóa hỗ trợ SSL 3.0 vào tối thứ ba (Nhân tiện, MetroTwit đã phát hành một hotfix, vì vậy bạn nên cập nhật ứng dụng khách của mình) .
"Đó là sự không chắc chắn giữ cho các công nghệ thế hệ đầu này tồn tại, " Hunt nói.
Khắc phục sự cố trình duyệt
Sử dụng trình duyệt Web hiện đại, tuân thủ tiêu chuẩn. Mozilla sẽ vô hiệu hóa SSL 3.0 theo mặc định trong phiên bản Firefox tiếp theo, dự kiến vào ngày 25 tháng 11 và Google sẽ loại bỏ nó khỏi Chrome. Safari tự động kích hoạt SSL, nhưng Apple vẫn chưa cân nhắc về kế hoạch của mình cho trình duyệt. Microsoft đã đăng một lời khuyên với các hướng dẫn về việc vô hiệu hóa SSL 3.0 khỏi máy tính để bàn và máy chủ Windows.
"Không cần phải ghét Microsoft, vì Internet Explorer 10 hoặc 11 sẽ làm được", Garve Hays, một kiến trúc sư giải pháp của NetIQ cho biết.
Bạn có thể tắt SSL 3.0 trong IE theo cách thủ công bằng cách bỏ chọn hộp SSL 3.0 trong tab Nâng cao trong menu Tùy chọn Internet. Người dùng Firefox nên truy cập about.config trên trình duyệt và thay đổi giá trị cho security.tls.version.min thành 1. Họ cũng có thể tải xuống tiện ích Mozilla để tắt SSL 3.0. Người dùng Chrome muốn tắt SSL 3.0 có thể thêm cờ dòng lệnh --ssl-version-min = tls1 vào trình duyệt.
Người dùng Safari sẽ phải chờ cập nhật bất cứ khi nào có. Tạm thời tắt Safari sẽ giảm khả năng bị Poodle tấn công.
Khi Microsoft ngừng hỗ trợ Windows XP trở lại vào tháng 4, vẫn có những người nắm giữ tuyên bố rằng họ không thấy lý do để nâng cấp lên hệ điều hành. Nếu những người dùng đó vẫn đang sử dụng Internet Explorer 6, họ sẽ bắt đầu thấy mọi thứ trực tuyến. CloudFlare đã tắt SSL 3.0 theo mặc định cho tất cả các trang web mà nó lưu trữ, bao gồm cả 2 triệu trang sử dụng gói miễn phí. Quyết định này sẽ tác động ít hơn 1 phần trăm tất cả lưu lượng truy cập đến các trang web của mình, Cloudflare nói. Nhiều công ty có thể theo dõi ví dụ của Twitter và tắt hỗ trợ trên các trang web của họ. Nếu bạn vẫn sử dụng IE 6 hoặc Windows XP, bạn thực sự cần nâng cấp.
"Nếu bạn đang chạy IE 6 ngày hôm nay (vâng, vẫn còn một số) và bạn không có lựa chọn nâng cấp vì" lý do ", bạn bị nhồi nhét", Hunt viết.
