Pratite nas preko RSS-aOtkriven bezbednosni propust u SSL 3.0
Vesti, 16.10.2014, 11:50 AM
Stručnjaci već dugo upozoravaju da je stara web tehnologija nesigurna a najnoviji dokaz za te tvrdnje je otkriće tri Googleova inženjera koji su upozorili da 18 godina star SSL (Secure Socket Layer) 3.0 protokol nije siguran zbog propusta koji je nazvan “POODLE”.
Googleovi inženjeri su u utorak objavili da propust koji je pronađen u dizajnu SSL 3.0 omogućava napadačima izvlačenje podataka iz sigurnih HTTPS veza. Njihovo otkriće označava kraj za SSL 3.0 zato što nema efikasnog načina da se reši ovaj problem.
Tokom POODLE (Padding Oracle On Downgraded Legacy Encryption) napada, kriptografska zaštita SSL 3.0 se narušava i podaci sesije mogu biti ukradeni.
SSL 3.0 koji već dugo nije validan protokol za sigurnu komunikaciju između klijenta i servera, zamenio je TLS (Transport Layer Security). Ipak, SSL 3.0 je još uvek prisutan na nekim web sajtovima i u web browserima.
Većina klijenata koristi najnoviju verziju kriptografskog protokola koja je implementirana, ali ako se pojavi bag na strani servera tokom komunikacije klijent-server, koriste se niže verzije sigurnog protokola.
To se može desiti i ako se u komunikaciju umeša napadač koristeći takozvanu “čovek u sredini” tehniku da bi se sigurni podaci dešifrovali bajt po bajt.
To je moguće zahvaljujući slabosti u kriptografskom algoritmu (CBC - cipher block chaining) koji se koristi za šifrovanje podataka.
Napadač može iskoristiti maliciozni mrežni uređaj, kao što je ruter ili WiFi pristupnu tačku, da bi downgradeovao protokol na SSL 3.0 i iskoristio propust kako bi došao do podataka u formi jednostavnog teksta koje šalje žrtva.
Iako je SSL 3.0 zamenjen sigurnijim protokolima, on je još uvek prisutan kod brojnih klijenata i servera. Svi veći browseri su preporučili programerima da onemoguće ovaj protokol da bi se izbegli POODLE napadi.
Mozilla će onemogućiti ovaj protokol po defaultu u verziji 34 svog browsera Firefox čije je objavljivanje zakazano za 25. novembar. Do tada je kompanija obezbedila ekstenziju SSL Version Control da bi se izbegli problemi.
Iz Googlea kažu da još od februara njihovi serveri koriste mehanizam TLS_FALLBACK_SCSV koji sprečava prebacivanje na SSL 3.0 ili na verzije TLS starije od TLS 1.2.
Google je isti mehanizam implementirao i u Chrome, ali su iz kompanije najavili da će SSL 3.0 biti potpuno izbačen iz Chromea.
U Internet Exploreru, osim verzije IE 6, SSL 3.0 može biti onemogućen u okviru menija Internet opcije -> Više opcija.
I Twitter je objavio da je isključio SSL 3.0 podršku zbog POODLE propusta, što znači da sajt više neće raditi sa starim browserima kao što je Internet Explorer 6.
Izdvojeno
Ugašena C2 infrastruktura botneta koji su zarazili preko tri miliona uređaja
Zajednička akcija vlasti iz SAD, Nemačke i Kanade rezultirala je gašenjem komandno-kontrolne (C2) infrastrukture koju su koristili botneti Aisuru, ... Dalje
Vidar 2.0: Majstor digitalne krađe širi se među gejmerima sa GitHuba i Reddita
Istraživači iz Acronis TRU upozoravaju na novu kampanju koja cilja pre svega mlađe gejmere, koristeći lažne varalice za popularne igre poput Fort... Dalje
INTERPOL upozorava: veštačka inteligencija podstiče finansijske prevare širom sveta
Novi izveštaj INTERPOL-a ukazuje na ubrzanu evoluciju globalnih finansijskih prevara, koje postaju sve sofisticiranije zahvaljujući veštačkoj inte... Dalje
Kalendarske pozivnice postaju novi alat za krađu podataka
Sajber kriminalci sve češće zloupotrebljavaju kalendarske pozivnice kako bi zaobišli inbox i direktno isporučili lažne fakture žrtvama, upozora... Dalje
Napadi na Signal naloge širom sveta: hakeri koriste poznate trikove socijalnog inženjeringa
Signal je upozorio na ciljane napade u kojima hakeri preuzimaju korisničke naloge putem socijalnog inženjeringa, dok sama enkripcija i infrastruktur... Dalje
Pratite nas
Nagrade
Prijatelji
