POODLE: Ευπάθεια στην SSL 3 ανακαλύφθηκε από την Google

Αποδεικνύεται ότι η κρυπτογράφηση Secure Sockets Layer (SSL) που αναφέρουμε σαν ασφαλή επικοινωνία στο διαδίκτυο έχει ευπάθεια. Σήμερα ερευνητές από την Google ανακοίνωσαν (PDF) ότι έχουν ανακαλύψει ένα bug (POODLE) στο πρωτόκολλο SSL 3.0. Το exploit θα μπορούσε να χρησιμοποιηθεί για την παρακολούθηση ευαίσθητων δεδομένων που υποτίθεται ότι πρέπει να είναι κρυπτογραφημένα μεταξύ του client και του server.poodle ssl security

Το exploit πρώτο επιτρέπει στους επιτιθέμενους να ξεκινήσουν έναν “χορό υποβαθμίσεων” ή “downgrade dance” όπως το αναφέρει η Google, που λέει στον πελάτη ότι ο διακομιστής δεν υποστηρίζει το πιο ασφαλές πρωτόκολλο TLS (Transport Layer Security), και τον αναγκάζει να συνδεθεί μέσω SSL 3.0. Από εκεί και πέρα μπορεί να πραγματοποιήσει μια επίθεση man-in-the-middle για να αποκρυπτογραφήσει τα ασφαλή HTTP cookies. Η Google ονομάζει την ευπάθεια POΟDLE (Padding Oracle On Downgraded Legacy Encryption).

Με άλλα λόγια, τα δεδομένα σας δεν είναι πλέον κωδικοποιημένα. Οι ερευνητές της Google, Bodo Möller, Thai Duong και Krzysztof Kotowicz συνιστούν την απενεργοποίηση του SSL 3.0 στους servers και στα clients. Ο διακομιστής και ο πελάτης θα προκαθορίσει την TSL για να πραγματοποιηθεί μια ασφαλής σύνδεση και η εκμετάλλευση δεν θα είναι δυνατή.

Για τους τελικούς χρήστες, αν ο browser σας το υποστηρίζει, απενεργοποιήστε το πρωτόκολλο SSL 3.0 ή ακόμα καλύτερα να χρησιμοποιήσετε εργαλεία που υποστηρίζουν TLS_FALLBACK_SCSV (Transport Layer Security Signalling Cipher Suite Value). Αυτό θα αποτρέψει επιθέσεις υποβάθμισης. Η Google ανέφερε ότι θα ξεκινήσει δοκιμές στο Chrome για την απενεργοποίηση της χρήσης του SSL 3.0 πριν αφαιρέσει την υποστήριξη του πρωτοκόλλου εντελώς από όλα τα προϊόντα της μέσα στους επόμενους μήνες. Στην πραγματικότητα, υπάρχει ήδη διαθέσιμο ένα Chromium patch που απενεργοποιεί την SSL.

Το ίδρυμα Mozilla σχεδιάζει να απενεργοποιήσει επίσης το SSL 3.0 στον Firefox. “Η SSLv3 θα απενεργοποιηθεί από προεπιλογή στον Firefox 34, ο οποίος θα κυκλοφορήσει στις Νοεμβρίου 25.”

Όποιος ενδιαφέρεται για την απενεργοποίηση την SSL 3.0 στον Firefox, μπορεί να το κάνει με το SSL Version Control add on για τον Firefox.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).