Pratite nas preko RSS-aOtkriven bezbednosni propust u SSL 3.0
Vesti, 16.10.2014, 11:50 AM
Stručnjaci već dugo upozoravaju da je stara web tehnologija nesigurna a najnoviji dokaz za te tvrdnje je otkriće tri Googleova inženjera koji su upozorili da 18 godina star SSL (Secure Socket Layer) 3.0 protokol nije siguran zbog propusta koji je nazvan “POODLE”.
Googleovi inženjeri su u utorak objavili da propust koji je pronađen u dizajnu SSL 3.0 omogućava napadačima izvlačenje podataka iz sigurnih HTTPS veza. Njihovo otkriće označava kraj za SSL 3.0 zato što nema efikasnog načina da se reši ovaj problem.
Tokom POODLE (Padding Oracle On Downgraded Legacy Encryption) napada, kriptografska zaštita SSL 3.0 se narušava i podaci sesije mogu biti ukradeni.
SSL 3.0 koji već dugo nije validan protokol za sigurnu komunikaciju između klijenta i servera, zamenio je TLS (Transport Layer Security). Ipak, SSL 3.0 je još uvek prisutan na nekim web sajtovima i u web browserima.
Većina klijenata koristi najnoviju verziju kriptografskog protokola koja je implementirana, ali ako se pojavi bag na strani servera tokom komunikacije klijent-server, koriste se niže verzije sigurnog protokola.
To se može desiti i ako se u komunikaciju umeša napadač koristeći takozvanu “čovek u sredini” tehniku da bi se sigurni podaci dešifrovali bajt po bajt.
To je moguće zahvaljujući slabosti u kriptografskom algoritmu (CBC - cipher block chaining) koji se koristi za šifrovanje podataka.
Napadač može iskoristiti maliciozni mrežni uređaj, kao što je ruter ili WiFi pristupnu tačku, da bi downgradeovao protokol na SSL 3.0 i iskoristio propust kako bi došao do podataka u formi jednostavnog teksta koje šalje žrtva.
Iako je SSL 3.0 zamenjen sigurnijim protokolima, on je još uvek prisutan kod brojnih klijenata i servera. Svi veći browseri su preporučili programerima da onemoguće ovaj protokol da bi se izbegli POODLE napadi.
Mozilla će onemogućiti ovaj protokol po defaultu u verziji 34 svog browsera Firefox čije je objavljivanje zakazano za 25. novembar. Do tada je kompanija obezbedila ekstenziju SSL Version Control da bi se izbegli problemi.
Iz Googlea kažu da još od februara njihovi serveri koriste mehanizam TLS_FALLBACK_SCSV koji sprečava prebacivanje na SSL 3.0 ili na verzije TLS starije od TLS 1.2.
Google je isti mehanizam implementirao i u Chrome, ali su iz kompanije najavili da će SSL 3.0 biti potpuno izbačen iz Chromea.
U Internet Exploreru, osim verzije IE 6, SSL 3.0 može biti onemogućen u okviru menija Internet opcije -> Više opcija.
I Twitter je objavio da je isključio SSL 3.0 podršku zbog POODLE propusta, što znači da sajt više neće raditi sa starim browserima kao što je Internet Explorer 6.
Izdvojeno
Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica
Istraživači iz nemačke kompanije ERNW su na konferenciji o bezbednosti TROOPERS u Nemačkoj otkrili tri ozbiljne ranjivosti u čipovima popularnih ... Dalje
Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada
U poslednjih šest meseci zabeležen je dramatičan porast nove vrste sajber napada koji se ne oslanja na ranjivosti u softveru, već na ljudske slabo... Dalje
Microsoft najavio produžetak podrške za Windows 10 za godinu dana
.jpg)
Microsoft je konačno potvrdio ono što su mnogi priželjkivali - Windows 10 će i dalje dobijati bezbednosna ažuriranja (Extended Security Updates, ... Dalje
Napadi na WordPress sajtove: novi malver krade kartice i lozinke
Istraživači iz Wordfence-a otkrili su sofisticiranu kampanju usmerenu na WordPress sajtove. Na prvi pogled, lažni dodatak (plugin) nazvan „Wo... Dalje
Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom
U digitalnom svetu gde svaka sumnjiva poruka može otvoriti vrata za kompromitovanje sistema, pojavila se nova sajber pretnja, nazvana Mocha Manakin. ... Dalje
Pratite nas
Nagrade
Prijatelji
