Ευπάθεια ασφαλείας στο πρωτόκολλο SSL-3
Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας, ενημερώνει τους χρήστες του διαδικτύου σχετικά με τον εντοπισμό σοβαρής ευπάθειας στην ασφάλεια χρήσης του πρωτοκόλλου κρυπτογράφησης SSL-3, η οποία…
ονομάστηκε Poodle (Padding Oracle On Downloaded Legacy Encryption).
Ειδικότερα, το πρωτόκολλο κρυπτογράφησης SSL-3 χρησιμοποιείται ευρέως για την κρυπτογραφημένη επικοινωνία μεταξύ ενός περιηγητή (browser) και ενός διακομιστή (server).
Αν και το πρωτόκολλο SSL 3.0 είναι περίπου δεκαπέντε (15) ετών, εξακολουθεί να χρησιμοποιείται ευρέως στα περισσότερα προγράμματα περιήγησης (browsers) και ως εφεδρικό (backup) στους διακομιστές, εάν τα σύγχρονα πρωτόκολλα κρυπτογράφησης αποτύχουν να συνδεθούν.
Συγκεκριμένα, η εν λόγω ευπάθεια επιτρέπει σε έναν κακόβουλο χρήστη (cracker) να πραγματοποιήσει επιθέσεις, οι οποίες ονομάζονται ως «man-in-the-middle» και να παρακάμψει την κρυπτογραφημένη επικοινωνία μεταξύ ενός περιηγητή (browser) και ενός διακομιστή (server) συλλέγοντας ευαίσθητα προσωπικά δεδομένα, αλλά και τα cookies των συνδέσεων. Με τα στοιχεία αυτά, στη συνέχεια (ο κακόβουλος χρήστης) μπορεί να αποκτήσει πρόσβαση στους διαδικτυακούς λογαριασμούς των χρηστών.
Επιπροσθέτως, το σημαντικότερο πρόβλημα που προκύπτει από την ευπάθεια Poodle είναι ότι εξαναγκάζει την υποβάθμιση (downgrade) σε SSL 3.0, καθιστώντας ευάλωτο ακόμα και ένα σύστημα που χρησιμοποιεί ανώτερη μέθοδο κρυπτογράφησης, όπως το πρωτόκολλο TLS (Transport Layer Security).
Σημειώνεται ότι οι συνθήκες στις οποίες μπορεί κάποιος κακόβουλος χρήστης (cracker) να εκμεταλλευτεί την ανωτέρω ευπάθεια με σχετική ευκολία είναι στα δημόσια δίκτυα (όπως τα public WiFi).
Καλούνται οι χρήστες του διαδικτύου να λαμβάνουν τα ακόλουθα ελάχιστα μέτρα προστασίας, για την αποφυγή προσβολής από την παραπάνω ευπάθεια: Εάν ο περιηγητής (browser) τους το υποστηρίζει, να απενεργοποιήσουν το πρωτόκολλο SSL 3.0 ή να χρησιμοποιήσουν εργαλεία που υποστηρίζουν TLS_FALLBACK_SCSV (Transport Layer Security Signalling Cipher Suite Value), το οποίο θα αποτρέψει επιθέσεις υποβάθμισης (downgrades). Να έχουν πάντοτε ενημερωμένο (update) τον περιηγητή (browser) τους στην τελευταία επίσημη έκδοση. Να είναι ιδιαίτερα προσεκτικοί στη χρήση των δημόσιων δικτύων (public WiFi).
Via
ονομάστηκε Poodle (Padding Oracle On Downloaded Legacy Encryption).
Ειδικότερα, το πρωτόκολλο κρυπτογράφησης SSL-3 χρησιμοποιείται ευρέως για την κρυπτογραφημένη επικοινωνία μεταξύ ενός περιηγητή (browser) και ενός διακομιστή (server).
Αν και το πρωτόκολλο SSL 3.0 είναι περίπου δεκαπέντε (15) ετών, εξακολουθεί να χρησιμοποιείται ευρέως στα περισσότερα προγράμματα περιήγησης (browsers) και ως εφεδρικό (backup) στους διακομιστές, εάν τα σύγχρονα πρωτόκολλα κρυπτογράφησης αποτύχουν να συνδεθούν.
Συγκεκριμένα, η εν λόγω ευπάθεια επιτρέπει σε έναν κακόβουλο χρήστη (cracker) να πραγματοποιήσει επιθέσεις, οι οποίες ονομάζονται ως «man-in-the-middle» και να παρακάμψει την κρυπτογραφημένη επικοινωνία μεταξύ ενός περιηγητή (browser) και ενός διακομιστή (server) συλλέγοντας ευαίσθητα προσωπικά δεδομένα, αλλά και τα cookies των συνδέσεων. Με τα στοιχεία αυτά, στη συνέχεια (ο κακόβουλος χρήστης) μπορεί να αποκτήσει πρόσβαση στους διαδικτυακούς λογαριασμούς των χρηστών.
Επιπροσθέτως, το σημαντικότερο πρόβλημα που προκύπτει από την ευπάθεια Poodle είναι ότι εξαναγκάζει την υποβάθμιση (downgrade) σε SSL 3.0, καθιστώντας ευάλωτο ακόμα και ένα σύστημα που χρησιμοποιεί ανώτερη μέθοδο κρυπτογράφησης, όπως το πρωτόκολλο TLS (Transport Layer Security).
Σημειώνεται ότι οι συνθήκες στις οποίες μπορεί κάποιος κακόβουλος χρήστης (cracker) να εκμεταλλευτεί την ανωτέρω ευπάθεια με σχετική ευκολία είναι στα δημόσια δίκτυα (όπως τα public WiFi).
Καλούνται οι χρήστες του διαδικτύου να λαμβάνουν τα ακόλουθα ελάχιστα μέτρα προστασίας, για την αποφυγή προσβολής από την παραπάνω ευπάθεια: Εάν ο περιηγητής (browser) τους το υποστηρίζει, να απενεργοποιήσουν το πρωτόκολλο SSL 3.0 ή να χρησιμοποιήσουν εργαλεία που υποστηρίζουν TLS_FALLBACK_SCSV (Transport Layer Security Signalling Cipher Suite Value), το οποίο θα αποτρέψει επιθέσεις υποβάθμισης (downgrades). Να έχουν πάντοτε ενημερωμένο (update) τον περιηγητή (browser) τους στην τελευταία επίσημη έκδοση. Να είναι ιδιαίτερα προσεκτικοί στη χρήση των δημόσιων δικτύων (public WiFi).
Via
Labels
FOTO ΑΣΤΕΙΑ ΠΑΡΑΞΕΝΑ ΔΙΑΦΟΡΑ
Post A Comment
Δεν υπάρχουν σχόλια :