Video: #PESARTIK MİNİ DİZİ 1.BÖLÜM (Eylül 2024)
Araştırmacılar, Güvenli Yuva Katmanında (SSL), bilgilerimizin ve iletişimlerimizin çevrimiçi ortamda nasıl güvende olduklarını etkileyen başka bir güvenlik açığını daha ortaya çıkardılar. İyi haber şu ki, bu kusurdan yararlanan saldırıları engellemek için belirli adımlar atabilirsiniz.
Google araştırmacıları Bodo Möller, Thai Duong ve Krzysztof Kotowicz, OpenSSL.org’da yayınlanan bir güvenlik danışmanlığında Padding Oracle On Downgraded Legacy Encryption (POODLE) saldırısının ayrıntılarını ana hatlarıyla açıkladı. Güvenlik açığı, 1996 yılında uygulamaya konan SSL 3.0’da ve 1999’da Transport Layer Security (TLS) ile değiştirildi. Kaniş, müşterilerin (dahil olan Web tarayıcılarının dahil olduğu) eski, daha az güvenli olan protokollere indirgenmesi gerçeğinden yararlanıyor güvenli bir bağlantı kuramıyor. Düşüş, aktif saldırganların yanı sıra ağ arızası tarafından da tetiklenebilir.
Möller Salı günü öğleden sonra Google Çevrimiçi Güvenlik Ekibi blogunda "Bir ağ saldırganı bağlantı hatalarına neden olabileceğinden, SSL 3.0 kullanımını tetikleyebilir ve ardından bu sorunu kullanabilir."
Fino köpeği oturum çerezlerini gösterir. Saldırganlar, e-posta hesaplarına veya diğer çevrimiçi hizmetlere kullanıcının şifresini alamaz, ancak oturum çerezi geçerli olduğu sürece kullanıcı olarak giriş yapabilir. Errata Security'den Robert Graham, "Böylece, siz Starbucks'tayken yanınızdaki bazı bilgisayar korsanları Twitter hesabınıza tweet gönderebilecek ve tüm Gmail iletilerinizi okuyabilecek" dedi.
İlk Savunma Hattı
Fino köpeği saldırısı, düşmana önce kurbanın İnternet bağlantısının kontrolünü ele geçirmek için ortada bir adam saldırısı kurar. Bunu yapmanın bir yolu, kafeterya gibi halka açık bir yerde kötü amaçlı bir Wi-Fi erişim noktası oluşturmaktır. Saldırganların, kurbanın tarayıcısının içindeki Javascript kodunu da çalıştırabilmesi gerekir.
“Birinin sömürmek için ortada bir adam olmasını gerektirir. Bu, NSA'dan güvenli olmasa da muhtemelen evdeki bilgisayar korsanlarından güvende olmanız anlamına gelir. Ancak, yerel Starbucks veya diğer şifrelenmemiş Wi-Fi'lerde, siz "Bu hack nedeniyle büyük tehlike altındadır, " Graham yazdı.
Bu nedenle, potansiyel Kaniş saldırılarının başarılı olmasını önlemek için yapabileceğiniz birkaç şey var. Tekrar tekrar söylediğimiz gibi, tanımadığınız kişilerce işletilen halka açık Wi-Fi ağlarına veya konuk ağlarına gizlice yaklaşmayın. Kaniş konusunda endişelenmeseniz bile, ortadaki adam saldırıları ciddidir ve hangi ağlara bağlandığınıza dikkat ederek kendinizi korursunuz.
Genel bir ağa ihtiyacınız varsa, işyerinizden veya mevcut birçok VPN servisinden herhangi birinden VPN'i kullanın. PrivateInternetAccess, CyberGhostVPN ve AnchorFree's HotSpot Shield gibi birkaç isim var.
Saldırganlar, kullanıcıları özel hazırlanmış Javascript kodunu yürütmek için tasarlanmış kötü amaçlı bir Web sayfasını ziyaret etmeleri için kandırırlar. Hangi siteleri ziyaret ettiğiniz konusunda dikkatli olun ve kimlik avı yapan siteleri arayın.
Neden hala SSL 3.0'ımız var?
Çoğu modern sunucu ve uygulama, TLS 1.1 veya 1.2 kullanır, ancak SSL 3.0, eski uygulamaları ve sistemleri desteklemek için hala yaygın olarak kullanılmaktadır. Internet Explorer 6 buna iyi bir örnektir. IE 6 eskisi kadar görünür olmasa da, oldukça uzun bir süre takılıyordu, bu yüzden SSL 3.0'ı daha güvenli TLS ile birlikte desteklemek için epeyce sunucu ve uygulama oluşturuldu. Netcraft'ın SSL Web sunucularının yaklaşık yüzde 97'sinin savunmasız olduğu tahmin ediliyor.
Güvenlik araştırmacısı Troy Hunt, “Bugün hemen hemen birçok yerde onu öldürebilirsin, ” diye yazdı, ancak bu sorunun yalnızca bir kısmı SSL 3.0'a geri dönme yeteneğine bağlı olabilecek müşterileri olduğu için. Hangileri olduklarını bilmiyoruz, şirketleri sadece fişi çekmeye daha az istekli hale getiriyoruz. Örneğin, Windows için popüler bir Twitter istemcisi olan MetroTwit’in SSL 3.0’a güvendiğini ve Twitter’ın SSL 3.0 desteğinin Salı akşamı devre dışı bırakılmasının ardından çalışmayı durdurduğunu bildiren Twitter raporları vardı (MetroTwit bir düzeltme yayımladı, bu nedenle müşterinizi güncellemelisiniz) .
Hunt, “Bu erken nesil teknolojileri canlı tutan belirsizlik” dedi.
Tarayıcı Sorununu Düzeltin
Modern, standartlara uygun bir Web tarayıcısı kullanın. Mozilla, SSL'yi varsayılan olarak 25 Kasım’da beklenen Firefox’un bir sonraki sürümünde varsayılan olarak devre dışı bırakacak ve Google Chrome’dan temizliyor. Safari, SSL'yi otomatik olarak etkinleştirir, ancak Apple, tarayıcı için planlarını henüz tartırmamıştır. Microsoft, SSL 3.0'ı Windows masaüstlerinden ve sunuculardan devre dışı bırakmayla ilgili talimatlar içeren bir danışma belgesi yayınladı.
NetIQ’a sahip bir çözüm mimarı Garve Hays, “Internet Explorer 10 veya 11’in yapacağı gibi Microsoft’tan nefret etmeye gerek yok” dedi.
Internet Seçenekleri menüsündeki Gelişmiş sekmelerin altındaki SSL 3.0 kutusunu işaretleyerek IE’de SSL 3.0’ı manuel olarak kapatabilirsiniz. Firefox kullanıcıları tarayıcıda about.config adresine gitmeli ve security.tls.version.min değerini 1 olarak değiştirmelidir. Ayrıca SSL 3.0'ı devre dışı bırakmak için bir Mozilla eklentisi de indirebilirler. SSL 3.0'ı devre dışı bırakmak isteyen Chrome kullanıcıları, tarayıcıya --ssl-version-min = tls1 komut satırı işaretini ekleyebilir.
Safari kullanıcıları, ne zaman olursa olsun bir güncelleme için beklemek zorunda kalacak. Safari'yi geçici olarak bırakmak, bir fino köpeği saldırısı olasılığını azaltacaktır.
Microsoft, Windows XP'yi Nisan ayında tekrar desteklemeyi bıraktığında, işletim sistemine yükseltme için bir neden görmediklerini iddia eden kişiler hala duruyordu. Bu kullanıcılar hala Internet Explorer 6 kullanıyorsa, işlerin çevrimiçi olarak bozulduğunu görmeye başlayacaklar. CloudFlare, ücretsiz planı kullanan 2 milyon site dahil olmak üzere, barındırdığı tüm siteler için varsayılan olarak SSL 3.0'ı devre dışı bıraktı. Cloudflare, bu kararın sitelere gelen tüm trafiğin yüzde 1'inden azını etkileyeceğini belirtti. Birçok şirketin Twitter'ın örneğini takip etmesi ve sitelerinde desteği kapatması muhtemel. Hala IE 6 veya Windows XP kullanıyorsanız, gerçekten yükseltme yapmanız gerekir.
Hunt, “Bugün IE 6 kullanıyorsanız (evet, hala bazıları var) ve yükseltme yapmak için bir seçeneğiniz yok çünkü 'nedenler', doldurulmuş durumdasınız.
