Pratite nas preko RSS-aOtkriven bezbednosni propust u SSL 3.0
Vesti, 16.10.2014, 11:50 AM
Stručnjaci već dugo upozoravaju da je stara web tehnologija nesigurna a najnoviji dokaz za te tvrdnje je otkriće tri Googleova inženjera koji su upozorili da 18 godina star SSL (Secure Socket Layer) 3.0 protokol nije siguran zbog propusta koji je nazvan “POODLE”.
Googleovi inženjeri su u utorak objavili da propust koji je pronađen u dizajnu SSL 3.0 omogućava napadačima izvlačenje podataka iz sigurnih HTTPS veza. Njihovo otkriće označava kraj za SSL 3.0 zato što nema efikasnog načina da se reši ovaj problem.
Tokom POODLE (Padding Oracle On Downgraded Legacy Encryption) napada, kriptografska zaštita SSL 3.0 se narušava i podaci sesije mogu biti ukradeni.
SSL 3.0 koji već dugo nije validan protokol za sigurnu komunikaciju između klijenta i servera, zamenio je TLS (Transport Layer Security). Ipak, SSL 3.0 je još uvek prisutan na nekim web sajtovima i u web browserima.
Većina klijenata koristi najnoviju verziju kriptografskog protokola koja je implementirana, ali ako se pojavi bag na strani servera tokom komunikacije klijent-server, koriste se niže verzije sigurnog protokola.
To se može desiti i ako se u komunikaciju umeša napadač koristeći takozvanu “čovek u sredini” tehniku da bi se sigurni podaci dešifrovali bajt po bajt.
To je moguće zahvaljujući slabosti u kriptografskom algoritmu (CBC - cipher block chaining) koji se koristi za šifrovanje podataka.
Napadač može iskoristiti maliciozni mrežni uređaj, kao što je ruter ili WiFi pristupnu tačku, da bi downgradeovao protokol na SSL 3.0 i iskoristio propust kako bi došao do podataka u formi jednostavnog teksta koje šalje žrtva.
Iako je SSL 3.0 zamenjen sigurnijim protokolima, on je još uvek prisutan kod brojnih klijenata i servera. Svi veći browseri su preporučili programerima da onemoguće ovaj protokol da bi se izbegli POODLE napadi.
Mozilla će onemogućiti ovaj protokol po defaultu u verziji 34 svog browsera Firefox čije je objavljivanje zakazano za 25. novembar. Do tada je kompanija obezbedila ekstenziju SSL Version Control da bi se izbegli problemi.
Iz Googlea kažu da još od februara njihovi serveri koriste mehanizam TLS_FALLBACK_SCSV koji sprečava prebacivanje na SSL 3.0 ili na verzije TLS starije od TLS 1.2.
Google je isti mehanizam implementirao i u Chrome, ali su iz kompanije najavili da će SSL 3.0 biti potpuno izbačen iz Chromea.
U Internet Exploreru, osim verzije IE 6, SSL 3.0 može biti onemogućen u okviru menija Internet opcije -> Više opcija.
I Twitter je objavio da je isključio SSL 3.0 podršku zbog POODLE propusta, što znači da sajt više neće raditi sa starim browserima kao što je Internet Explorer 6.
Izdvojeno
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Piramidalna šema prevare na Telegramu
Istraživači kompanije Kasperski upozorili su na prevarante koji koriste sofisticiranu taktiku da ukradu Toncoine (TON) od korisnika Telegrama širom... Dalje
Od početka godine ransomware grupa Akira napala 250 organizacija od kojih je pokušala da naplati 42 miliona dolara
Da posao sa ransomwareom cveta pokazuju i podaci o ransomware grupi Akira koja je za manje od godinu dana rada iznudila milione od na stotine pogođen... Dalje
Microsoft je i dalje brend koji se najviše zloupotrebljava u phishing napadima
Prema podacima kompanije Check Point, Microsoft je brend koji se najviše zloupotrebljavao, u čak 38% svih phishing napada u prvom kvartalu 2024. Ovo... Dalje
Farmakokriminal na internetu: Facebook, X i Instagram preplavljeni oglasima za kopije poznatih lekova
Hiljade lažnih onlajn apoteka koje prodaju kopije lekova širom sveta, uključujući i kopije popularnog Ozempica, leka za lečenje dijabetesa tipa ... Dalje
Pratite nas
Nagrade
Prijatelji
