รักษาความปลอดภัยทางอินเทอร์เน็ตขั้นพื้นฐาน

นักวิจัยได้ค้นพบช่องโหว่ที่ร้ายแรงอื่นใน Secure Sockets Layer (SSL) ซึ่งมีผลต่อวิธีการรักษาความปลอดภัยข้อมูลและการสื่อสารออนไลน์ของเรา ข่าวดีก็คือคุณสามารถทำตามขั้นตอนเฉพาะเพื่อป้องกันการโจมตีที่ใช้ประโยชน์จากข้อบกพร่องนี้

นักวิจัยของ Google Bodo Möller, Thai Duong และ Krzysztof Kotowicz ได้ให้รายละเอียดเกี่ยวกับการแพ็ดดิ้ง Oracle เกี่ยวกับการเข้ารหัส Legacy Encryption (POODLE) ของออราเคิลในการให้คำปรึกษาด้านความปลอดภัยที่โพสต์บน OpenSSL.org ช่องโหว่อยู่ใน SSL 3.0 ซึ่งเปิดตัวในปี 1996 และแทนที่ด้วย Transport Layer Security (TLS) ในปี 1999 พุดเดิ้ลใช้ประโยชน์จากความจริงที่ว่าไคลเอนต์ - เว็บเบราว์เซอร์ที่รวมอยู่ - จะปรับลดรุ่นเก่า ไม่สามารถสร้างการเชื่อมต่อที่ปลอดภัย การปรับลดรุ่นสามารถเรียกใช้โดยเครือข่ายบกพร่องเช่นเดียวกับการโจมตีที่ใช้งานอยู่

"เนื่องจากผู้โจมตีเครือข่ายอาจทำให้เกิดการเชื่อมต่อล้มเหลวจึงสามารถเปิดใช้งาน SSL 3.0 แล้วใช้ประโยชน์จากปัญหานี้ได้" Möllerเขียนไว้ในบล็อกทีมรักษาความปลอดภัยออนไลน์ของ Google บ่ายวันอังคาร

พุดเดิ้ลจะเปิดเผยคุกกี้เซสชั่น ผู้โจมตีจะไม่ได้รับรหัสผ่านของผู้ใช้ไปยังบัญชีอีเมลหรือบริการออนไลน์อื่น ๆ แต่จะยังสามารถเข้าสู่ระบบได้ตราบใดที่คุกกี้เซสชั่นถูกต้อง “ ดังนั้นในขณะที่คุณอยู่ที่สตาร์บัคส์แฮกเกอร์บางคนที่อยู่ถัดจากคุณจะสามารถโพสต์ทวีตในบัญชี Twitter ของคุณและอ่านข้อความ Gmail ทั้งหมดของคุณได้” Robert Graham จาก Errata Security กล่าว

ด่านแรกของการป้องกัน

การโจมตีพุดเดิ้ลขึ้นอยู่กับฝ่ายตรงข้ามก่อนการตั้งค่าการโจมตีแบบคนกลางกลางเพื่อควบคุมการเชื่อมต่ออินเทอร์เน็ตของเหยื่อ วิธีหนึ่งในการทำเช่นนั้นคือการตั้งค่าจุดเชื่อมต่อ Wi-Fi ที่เป็นอันตรายในที่สาธารณะเช่นคอฟฟี่ช็อป ผู้โจมตียังต้องสามารถเรียกใช้รหัส Javascript ในเบราว์เซอร์ของเหยื่อ

"มันต้องการคนที่จะเป็นคนกลางเพื่อเอาเปรียบซึ่งหมายความว่าคุณอาจปลอดภัยจากแฮกเกอร์ที่บ้านแม้ว่าจะไม่ปลอดภัยจาก NSA อย่างไรก็ตามเมื่ออยู่ที่ Starbucks ในพื้นที่หรือ Wi-Fi ที่ไม่มีการเข้ารหัสอื่น ๆ คุณ อยู่ในอันตรายร้ายแรงจากการแฮ็คนี้ "เกรแฮมเขียน

มีอยู่สองสามสิ่งที่คุณสามารถทำได้เพื่อป้องกันการโจมตีพุดเดิ้ลที่อาจเกิดขึ้นได้ ดังที่เราได้กล่าวครั้งแล้วครั้งเล่าอย่ากระโดดจงใจต่อเครือข่าย Wi-Fi สาธารณะหรือเครือข่ายแขกที่ดำเนินการโดยคนที่คุณไม่รู้จัก แม้ว่าคุณจะไม่ได้กังวลเกี่ยวกับพุดเดิ้ล แต่การโจมตีแบบคนกลางก็จริงจังและปกป้องตัวเองด้วยการระวังเครือข่ายที่คุณเชื่อมต่อด้วย

หากคุณต้องการใช้เครือข่ายสาธารณะให้ใช้ VPN ไม่ว่าจากที่ทำงานของคุณหรือบริการ VPN ใด ๆ ที่มีให้ มีค่อนข้างน้อยเช่น PrivateInternetAccess, CyberGhostVPN และ HotSpot Shield ของ AnchorFree เพื่อตั้งชื่อไม่กี่คน

ผู้โจมตีมักจะหลอกให้ผู้ใช้เยี่ยมชมเว็บเพจอันตรายที่ออกแบบมาเพื่อรันโค้ด Javascript ที่ออกแบบมาเป็นพิเศษ ระวังเว็บไซต์ที่คุณเข้าชมและระวังเว็บไซต์ฟิชชิ่ง

ทำไมเรายังมี SSL 3.0 อยู่

เซิร์ฟเวอร์และแอพพลิเคชั่นที่ทันสมัยส่วนใหญ่ใช้ TLS 1.1 หรือ 1.2 แต่ SSL 3.0 ยังคงใช้กันอย่างแพร่หลายเพื่อรองรับแอปพลิเคชันและระบบดั้งเดิม Internet Explorer 6 เป็นตัวอย่างที่ดีอย่างหนึ่ง แม้ว่า IE 6 จะไม่ปรากฏอย่างที่เคยเป็นมา แต่ก็มีการใช้งานมาเป็นเวลานานดังนั้นเซิร์ฟเวอร์และแอปพลิเคชั่นจำนวนมากจึงถูกสร้างขึ้นเพื่อรองรับ SSL 3.0 พร้อมกับ TLS ที่ปลอดภัยยิ่งขึ้น Netcraft ประเมินว่าเกือบร้อยละ 97 ของเว็บเซิร์ฟเวอร์ SSL นั้นมีช่องโหว่

"คุณสามารถฆ่ามันได้เกือบทุกแห่งในทุกวันนี้" ทรอยฮันนักวิจัยด้านความปลอดภัยเขียน แต่นั่นเป็นเพียงส่วนหนึ่งของปัญหาเนื่องจากมีลูกค้าอยู่ที่นั่นซึ่งขึ้นอยู่กับความสามารถในการถอยกลับไปสู่ ​​SSL 3.0 เราไม่ทราบว่าเป็น บริษัท ใดทำให้ บริษัท ไม่เต็มใจที่จะดึงปลั๊กออก ตัวอย่างเช่นมีรายงาน Twitter ว่า MetroTwit ไคลเอนต์ Twitter ที่ได้รับความนิยมสำหรับ Windows ใช้ SSL 3.0 และหยุดทำงานหลังจาก Twitter ปิดใช้งานการสนับสนุน SSL 3.0 ในเย็นวันอังคาร (MetroTwit ได้เผยแพร่โปรแกรมแก้ไขด่วนแล้วดังนั้นคุณควรอัพเดตไคลเอ็นต์ของคุณ) .

“ มันเป็นความไม่แน่นอนที่ทำให้เทคโนโลยียุคใหม่เหล่านี้ยังมีชีวิตอยู่” ฮันท์กล่าว

แก้ไขปัญหาเบราว์เซอร์

ใช้เว็บเบราเซอร์ที่ทันสมัยและได้มาตรฐาน Mozilla จะปิดการใช้งาน SSL 3.0 โดยค่าเริ่มต้นใน Firefox เวอร์ชั่นถัดไปที่คาดว่าจะ 25 พฤศจิกายนและ Google กำลังขัดถูจาก Chrome Safari เปิดใช้งาน SSL อัตโนมัติ แต่ Apple ยังไม่ได้ชั่งน้ำหนักแผนของเบราว์เซอร์ Microsoft โพสต์คำแนะนำพร้อมคำแนะนำเกี่ยวกับการปิดใช้งาน SSL 3.0 จากเดสก์ท็อปและเซิร์ฟเวอร์ Windows

“ ไม่จำเป็นต้องเกลียดชัง Microsoft เพราะอย่างที่ Internet Explorer 10 หรือ 11 จะต้องทำ” Garve Hays สถาปนิกด้านโซลูชั่นของ NetIQ กล่าว

คุณสามารถปิด SSL 3.0 ด้วยตนเองใน IE โดยยกเลิกการเลือกช่อง SSL 3.0 ภายใต้แท็บขั้นสูงในเมนูตัวเลือกอินเทอร์เน็ต ผู้ใช้ Firefox ควรไปที่ about.config บนเบราว์เซอร์และเปลี่ยนค่าสำหรับ security.tls.version.min เป็น 1 พวกเขายังสามารถดาวน์โหลด Mozilla add-on ของ Mozilla เพื่อปิดการใช้งาน SSL 3.0 ผู้ใช้ Chrome ที่ต้องการปิดการใช้งาน SSL 3.0 สามารถเพิ่มการตั้งค่าสถานะบรรทัดคำสั่ง --ssl-version-min = tls1 ในเบราว์เซอร์

ผู้ใช้ Safari จะต้องรอการอัปเดตทุกครั้งที่มาถึง การอยู่นอก Safari ชั่วคราวจะลดโอกาสในการโจมตีพุดเดิ้ล

เมื่อ Microsoft หยุดการสนับสนุน Windows XP กลับมาในเดือนเมษายนยังมีการระงับอยู่ซึ่งอ้างว่าพวกเขาไม่เห็นเหตุผลในการอัพเกรดเป็นระบบปฏิบัติการ หากผู้ใช้เหล่านั้นยังคงใช้ Internet Explorer 6 พวกเขาจะเริ่มเห็นสิ่งต่าง ๆ ออนไลน์ CloudFlare ได้ปิดการใช้งาน SSL 3.0 โดยค่าเริ่มต้นสำหรับไซต์ทั้งหมดที่โฮสต์รวมถึง 2 ล้านไซต์ที่ใช้แผนบริการฟรี การตัดสินใจครั้งนี้จะส่งผลกระทบต่อการรับส่งข้อมูลไปยังไซต์ของตนน้อยกว่า 1 เปอร์เซ็นต์ Cloudflare กล่าว บริษัท หลายแห่งมีแนวโน้มที่จะทำตามตัวอย่างของ Twitter และปิดการสนับสนุนในเว็บไซต์ของพวกเขา หากคุณยังคงใช้ IE 6 หรือ Windows XP คุณต้องอัปเกรดจริงๆ

"ถ้าคุณใช้ IE 6 วันนี้ (ใช่ยังมีอยู่บ้าง) และคุณไม่มีทางเลือกในการอัปเกรดเพราะ 'เหตุผล' คุณกำลังยัดเยียด" Hunt เขียน