Video: Vermeide diese TYPISCHEN FEHLER im Schach ♟ (Dezember 2024)
Forscher haben eine weitere schwerwiegende Sicherheitslücke in Secure Sockets Layer (SSL) aufgedeckt, die sich darauf auswirkt, wie unsere Informationen und Kommunikationen online gesichert werden. Die gute Nachricht ist, dass Sie bestimmte Schritte unternehmen können, um Angriffe zu blockieren, die diesen Fehler ausnutzen.
Die Google-Forscher Bodo Möller, Thai Duong und Krzysztof Kotowicz haben in einem Sicherheitshinweis auf OpenSSL.org die Details des Padding Oracle On Downgraded Legacy Encryption (POODLE) -Angriffs erläutert. Die Sicherheitsanfälligkeit ist in SSL 3.0 enthalten, das 1996 eingeführt und 1999 durch TLS (Transport Layer Security) ersetzt wurde. Poodle nutzt die Tatsache, dass Clients (einschließlich Webbrowser) auf ältere, weniger sichere Protokolle heruntergestuft werden, wenn dies der Fall ist kann keine sichere Verbindung herstellen. Das Downgrade kann sowohl durch Netzwerkprobleme als auch durch aktive Angreifer ausgelöst werden.
"Da ein Netzwerkangreifer Verbindungsfehler verursachen kann, kann er die Verwendung von SSL 3.0 auslösen und dieses Problem dann ausnutzen", schrieb Möller am Dienstagnachmittag im Blog des Google Online-Sicherheitsteams.
Pudel deckt Sitzungsplätzchen auf. Die Angreifer erhalten das Kennwort des Benutzers für E-Mail-Konten oder andere Onlinedienste nicht, können sich jedoch weiterhin als Benutzer anmelden, solange der Sitzungscookie gültig ist. "Während Sie bei Starbucks sind, können einige Hacker neben Ihnen Tweets in Ihrem Twitter-Konto posten und alle Ihre Google Mail-Nachrichten lesen", sagte Robert Graham von Errata Security.
Erste Verteidigungslinie
Der Pudelangriff beruht darauf, dass der Gegner zuerst einen Man-in-the-Middle-Angriff ausführt, um die Kontrolle über die Internetverbindung des Opfers zu erlangen. Eine Möglichkeit, dies zu tun, besteht darin, einen böswilligen Wi-Fi-Zugangspunkt an einem öffentlichen Ort wie einem Coffeeshop einzurichten. Angreifer müssen außerdem in der Lage sein, Javascript-Code im Browser des Opfers auszuführen.
"Es ist erforderlich, dass jemand ein Mann in der Mitte ist, um es auszunutzen. Dies bedeutet, dass Sie wahrscheinlich vor Hackern zu Hause sicher sind, wenn auch nicht vor der NSA. Wenn Sie sich jedoch im lokalen Starbucks oder einem anderen unverschlüsselten WLAN befinden, sind Sie es." sind durch diesen Hack in ernster Gefahr ", schrieb Graham.
Sie können also bereits einige Maßnahmen ergreifen, um den Erfolg potenzieller Pudelangriffe zu verhindern. Wie wir immer wieder gesagt haben, sollten Sie nicht ohne Weiteres auf öffentliche Wi-Fi-Netzwerke oder Gastnetzwerke zugreifen, die von Personen betrieben werden, die Sie nicht kennen. Selbst wenn Sie sich keine Sorgen um Pudel machen, sind Man-in-the-Middle-Angriffe schwerwiegend und Sie schützen sich, indem Sie sorgfältig darauf achten, mit welchen Netzwerken Sie verbunden sind.
Wenn Sie in ein öffentliches Netzwerk einsteigen müssen, verwenden Sie VPN, entweder von Ihrem Arbeitsplatz aus oder von einem der vielen verfügbaren VPN-Dienste aus. Es gibt einige, wie PrivateInternetAccess, CyberGhostVPN und AnchorFree's HotSpot Shield, um nur einige zu nennen.
Angreifer werden Benutzer wahrscheinlich dazu verleiten, eine schädliche Webseite zu besuchen, auf der speziell gestalteter Javascript-Code ausgeführt wird. Achten Sie darauf, welche Websites Sie besuchen, und halten Sie Ausschau nach Phishing-Websites.
Warum haben wir noch SSL 3.0?
Die meisten modernen Server und Anwendungen verwenden TLS 1.1 oder 1.2. SSL 3.0 wird jedoch immer noch häufig verwendet, um ältere Anwendungen und Systeme zu unterstützen. Internet Explorer 6 ist ein gutes Beispiel. Der IE 6 ist zwar nicht mehr so sichtbar wie früher, blieb aber ziemlich lange hängen, sodass eine ganze Reihe von Servern und Anwendungen für die Unterstützung von SSL 3.0 zusammen mit dem sichereren TLS entwickelt wurden. Netcraft schätzt, dass fast 97 Prozent der SSL-Webserver anfällig sind.
"Man könnte es heutzutage an den meisten Orten so gut wie töten", schrieb der Sicherheitsforscher Troy Hunt, aber das ist nur ein Teil des Problems, da es Clients gibt, die von der Möglichkeit abhängen, auf SSL 3.0 zurückzugreifen. Wir wissen nicht, um welche es sich handelt, was die Unternehmen weniger bereit macht, einfach den Stecker zu ziehen. Es gab zum Beispiel Twitter-Berichte, wonach MetroTwit, ein beliebter Twitter-Client für Windows, sich auf SSL 3.0 stützte und nicht mehr funktionierte, nachdem Twitter am Dienstagabend die SSL 3.0-Unterstützung deaktiviert hatte (MetroTwit hat übrigens einen Hotfix veröffentlicht, daher sollten Sie Ihren Client aktualisieren)..
"Es ist die Unsicherheit, die diese Technologien der frühen Generation am Leben erhält", sagte Hunt.
Beheben Sie das Browserproblem
Verwenden Sie einen modernen, standardkonformen Webbrowser. Mozilla deaktiviert SSL 3.0 standardmäßig in der nächsten Firefox-Version, voraussichtlich am 25. November, und Google entfernt es aus Chrome. Safari aktiviert SSL automatisch, aber Apple muss seine Pläne für den Browser noch abwägen. Microsoft hat eine Empfehlung mit Anweisungen zum Deaktivieren von SSL 3.0 auf Windows-Desktops und -Servern veröffentlicht.
"Sie müssen Microsoft nicht hassen, wie es Internet Explorer 10 oder 11 tun werden", sagte Garve Hays, ein Lösungsarchitekt bei NetIQ.
Sie können SSL 3.0 im Internet Explorer manuell deaktivieren, indem Sie das Kontrollkästchen SSL 3.0 auf den Registerkarten Erweitert im Menü Internetoptionen deaktivieren. Firefox-Benutzer sollten im Browser zu about.config gehen und den Wert für security.tls.version.min auf 1 ändern. Sie können auch ein Mozilla-Add-On herunterladen, um SSL 3.0 zu deaktivieren. Chrome-Benutzer, die SSL 3.0 deaktivieren möchten, können dem Browser das Befehlszeilenflag --ssl-version-min = tls1 hinzufügen .
Safari-Benutzer müssen immer auf ein Update warten. Wenn Sie Safari vorübergehend aussetzen, verringert sich die Wahrscheinlichkeit eines Pudelangriffs.
Als Microsoft im April die Unterstützung von Windows XP einstellte, gaben immer noch andere an, keinen Grund für ein Upgrade auf das Betriebssystem zu sehen. Wenn diese Benutzer immer noch Internet Explorer 6 verwenden, werden sie feststellen, dass die Online-Funktionen nicht mehr funktionieren. CloudFlare hat SSL 3.0 standardmäßig für alle von ihm gehosteten Websites deaktiviert, einschließlich der 2 Millionen Websites, die den kostenlosen Plan verwenden. Diese Entscheidung wird laut Cloudflare weniger als 1 Prozent des gesamten Datenverkehrs auf den Websites beeinträchtigen. Viele Unternehmen folgen wahrscheinlich dem Beispiel von Twitter und deaktivieren den Support auf ihren Websites. Wenn Sie immer noch IE 6 oder Windows XP verwenden, müssen Sie wirklich aktualisieren.
"Wenn Sie heute mit IE 6 arbeiten (ja, es gibt noch einige) und Sie keine Wahl beim Upgrade haben, weil Sie aus" Gründen "überfordert sind", schrieb Hunt.
