Vídeo: Fallston running on the beach at Bay Point Island, SC (Setembre 2024)
Els investigadors han descobert una altra greu vulnerabilitat en Secure Sockets Layer (SSL) que afecta la forma en què es protegeixen les nostres comunicacions i comunicacions en línia. La bona notícia és que podeu prendre mesures específiques per bloquejar els atacs que exploten aquest defecte.
Els investigadors de Google, Bodo Möller, Thai Duong i Krzysztof Kotowicz, van exposar els detalls de l'atac de Padding Oracle On Downgraded Legacy Encryption (POODLE) en un assessorament de seguretat publicat a OpenSSL.org. La vulnerabilitat es troba a SSL 3.0, que es va introduir el 1996 i que es va substituir per Transport Layer Security (TLS) el 1999. Poodle aprofita que els clients (navegadors web inclosos) baixaran als protocols més antics, menys segurs, si és que és incapaç d'establir una connexió segura. La baixada de nivells es pot desencadenar per interrupcions de xarxa i atacants actius.
"Com que un atacant de xarxa pot causar fallades de connexió, poden activar l'ús de SSL 3.0 i després explotar aquest problema", va escriure Möller al bloc de Google Online Security Team dimarts a la tarda.
Poodle exposa cookies de sessió. Els atacants no obtindran la contrasenya de l’usuari per als comptes de correu electrònic o altres serveis en línia, però encara podran iniciar la sessió mentre l’usuari tingui validesa. "Així, mentre estiguis a Starbucks, algun hacker al teu costat podrà publicar tuits al teu compte de Twitter i llegir tots els teus missatges de Gmail", va dir Robert Graham, d'Errata Security.
Primera Línia de Defensa
L’atac de Poodle es basa en l’adversari primer que va configurar un atac d’home al mig per agafar el control de la connexió a Internet de la víctima. Una forma de fer-ho és configurar un punt d'accés Wi-Fi maliciós en una ubicació pública com ara una cafeteria. Els atacants també han de poder executar el codi Javascript al navegador de la víctima.
"Cal que algú sigui un home a la mitja per explotar. Això vol dir que probablement estàs segur dels pirates informàtics a casa, encara que no estiguin a seguretat de l'NSA. Tanmateix, quan es troba a Starbucks o a qualsevol altra xarxa Wi-Fi sense xifrar, estan en perill greu d’aquest piratge ”, va escriure Graham.
Així, ja hi ha algunes coses que podeu fer per evitar que els atacs de Poodle tinguin èxit. Com hem dit una vegada i una altra vegada, no ensopisem a les xarxes Wi-Fi públiques o a les xarxes de convidats operades per persones que no coneixeu. Tot i que no us preocupa Poodle, els atacs entremig són seriosos i us protegeu si teniu compte amb les xarxes a les que us connecteu.
Si necessiteu accedir a una xarxa pública, utilitzeu VPN, des del vostre lloc de treball o qualsevol dels molts serveis VPN disponibles. Hi ha alguns fora, com PrivateInternetAccess, CyberGhostVPN i Shield HotSpot d’AnchorFree, per citar-ne alguns.
Els atacants probablement enganyaran els usuaris a visitar una pàgina web maliciosa dissenyada per executar un codi Javascript dissenyat especialment. Aneu amb compte amb els llocs que visiteu i sigueu alerta de llocs de pesca.
Per què encara tenim SSL 3.0?
La majoria de servidors i aplicacions moderns utilitzen TLS 1.1 o 1.2, però SSL 3.0 encara és àmpliament utilitzat per donar suport a aplicacions i sistemes antics. Internet Explorer 6 és un bon exemple. Tot i que IE 6 no és tan visible com abans, es va mantenir durant força temps, de manera que es van crear un bon nombre de servidors i aplicacions per donar suport a SSL 3.0 juntament amb la TLS més segura. És probable que la xarxa estimada que prop del 97 per cent dels servidors web SSL siguin vulnerables.
"Avui podria matar-lo a la majoria de llocs", va escriure l'investigador en seguretat Troy Hunt, però això només és una part del problema, ja que hi ha clients que poden dependre de la possibilitat de tornar a SSL 3.0. No sabem quines són, cosa que fa que les empreses siguin menys disposades a treure el tap. Per exemple, hi va haver informes de Twitter que MetroTwit, un popular client de Twitter per a Windows, va confiar en SSL 3.0 i va deixar de funcionar després que Twitter inhabilités el suport SSL 3.0 dimarts al vespre (MetroTwit ha publicat una revisió, per cert, de manera que hauríeu d’actualitzar el vostre client).
"És la incertesa que manté vives aquestes tecnologies de primera generació", va dir Hunt.
Solucionar el problema del navegador
Utilitzeu un navegador web modern i estàndard. Mozilla desactivarà SSL 3.0 de manera predeterminada en la següent versió del Firefox, que s’espera el 25 de novembre, i Google l’està buscant de Chrome. Safari habilita automàticament SSL, però Apple encara ha de tenir en compte els seus plans per al navegador. Microsoft va publicar un avís amb instruccions sobre com desactivar SSL 3.0 des dels ordinadors de sobretaula i servidors de Windows.
"No cal odiar a Microsoft, com ho farà Internet Explorer 10 o 11", va dir Garve Hays, un arquitecte de solucions amb NetIQ.
Podeu desactivar manualment SSL 3.0 a IE desmarcant la casella SSL 3.0 a les pestanyes Avançades del menú Opcions d'Internet. Els usuaris del Firefox haurien d’anar a about.config al navegador i canviar el valor per security.tls.version.min a 1. També poden descarregar un complement de Mozilla per desactivar SSL 3.0. Els usuaris de Chrome que vulguin desactivar SSL 3.0 poden afegir al navegador la marca de comandes --ssl-version-min = tls1 .
Els usuaris de Safari hauran d’esperar una actualització, sempre que arribi. Restar fora de Safari temporalment reduirà la probabilitat d’un atac de Poodle.
Quan Microsoft va deixar de suportar Windows XP el mes d'abril, encara hi havia recursos que asseguraven que no veien un motiu per actualitzar-se al sistema operatiu. Si aquests usuaris continuen utilitzant Internet Explorer 6, començaran a veure les coses en línia. CloudFlare ha desactivat de manera predeterminada SSL 3.0 per a tots els llocs que allotja, inclosos els 2 milions de llocs que utilitzen el pla gratuït. Aquesta decisió afectarà menys de l'1% del trànsit als seus llocs, va dir Cloudflare. És probable que moltes empreses segueixin l’exemple de Twitter i apagin el suport als seus llocs. Si encara utilitzeu IE 6 o Windows XP, realment heu d'actualitzar.
"Si publiqueu IE 6 avui (sí, encara en queden alguns) i no teniu cap opció d'actualitzar ja que hi ha" raons ", esteu farcits", va escriure Hunt.
