ビデオ: --°--∫—Ä--Æ--∑—Å --ª—È—Å—Ã —Ñ —Ç—É--º--∞--Ω—Ã (九月 2024)
研究者は、Secure Sockets Layer(SSL)の別の深刻な脆弱性を発見しました。これは、情報と通信がオンラインで保護される方法に影響します。 良いニュースは、この欠陥を悪用する攻撃をブロックするための特定の手順を実行できることです。
Googleの研究者BodoMöller、Thai Duong、およびKrzysztof Kotowiczは、OpenSSL.orgに投稿されたセキュリティアドバイザリで、ダウングレードされたレガシー暗号化(POODLE)攻撃の詳細を概説しました。 この脆弱性は、1996年に導入され、1999年にトランスポートレイヤーセキュリティ(TLS)に置き換えられたSSL 3.0にあります。Poodleは、Webブラウザーを含むクライアントが、より古く安全性の低いプロトコルにダウングレードするという事実を利用します安全な接続を確立できません。 ダウングレードは、ネットワークのグリッチとアクティブな攻撃者によってトリガーされる可能性があります。
「ネットワーク攻撃者は接続障害を引き起こす可能性があるため、SSL 3.0の使用をトリガーし、この問題を悪用する可能性があります」と、MöllerはGoogle Online Security Teamブログで火曜日の午後に書いています。
PoodleはセッションCookieを公開します。 攻撃者は、ユーザーのパスワードを電子メールアカウントまたは他のオンラインサービスに取得しませんが、セッションCookieが有効である限り、ユーザーとしてログインできます。 「したがって、スターバックスにいる間、あなたの隣のハッカーがあなたのTwitterアカウントにツイートを投稿し、すべてのGmailメッセージを読むことができます」とErrata SecurityのRobert Graham氏は述べています。
最初の防衛線
Poodle攻撃は、攻撃者が最初に中間者攻撃を設定して、被害者のインターネット接続を制御することに依存しています。 そのための1つの方法は、コーヒーショップなどの公共の場所に悪意のあるWi-Fiアクセスポイントをセットアップすることです。 攻撃者は、被害者のブラウザ内でJavascriptコードを実行できる必要もあります。
「悪用するには中間者になる必要があります。これはおそらく、自宅のハッカーからは安全であるが、NSAからは安全ではないことを意味します。ただし、ローカルのスターバックスやその他の暗号化されていないWi-Fiこのハックによる重大な危険にさらされています」とグラハムは書いています。
そのため、潜在的なPoodle攻撃の成功を防ぐためにできることがいくつかあります。 何度も繰り返してきましたが、知らない人が運営するパブリックWi-Fiネットワークやゲストネットワークに自由に飛び回らないでください。 Poodleについて心配していなくても、man-in-the-middle攻撃は深刻であり、接続するネットワークに注意することで身を守ります。
パブリックネットワークにアクセスする必要がある場合は、職場からでも、利用可能な多くのVPNサービスからでも、VPNを使用します。 いくつか例を挙げると、PrivateInternetAccess、CyberGhostVPN、AnchorFreeのHotSpot Shieldなど、かなりの数があります。
攻撃者は、ユーザーをだまして、特別に細工されたJavascriptコードを実行するように設計された悪意のあるWebページを訪問させます。 どのサイトにアクセスするかについて注意し、フィッシングサイトに注意してください。
SSL 3.0がまだあるのはなぜですか?
最新のサーバーおよびアプリケーションのほとんどはTLS 1.1または1.2を使用していますが、レガシーアプリケーションおよびシステムをサポートするためにSSL 3.0が依然として広く使用されています。 Internet Explorer 6は良い例です。 IE 6は以前ほど目に見えませんが、かなり長い間ぶらぶらしていたので、SSL 3.0とより安全なTLSをサポートするために非常に多くのサーバーとアプリケーションが構築されました。 Netcraftは、SSL Webサーバーのほぼ97%が脆弱であると推定しています。
「今日、ほとんどの場所でそれを殺すことができます」とセキュリティ研究者のTroy Huntは書いていますが、SSL 3.0にフォールバックする能力に依存しているクライアントがいるため、それは問題の一部にすぎません。 私たちはそれらがどれであるかを知らないため、企業はプラグを抜くだけの意思を失います。 たとえば、Windows用の人気のTwitterクライアントであるMetroTwitがSSL 3.0に依存し、火曜日の夜にTwitterがSSL 3.0サポートを無効にした後に動作を停止したというTwitterレポートがありました(MetroTwitはちなみに修正プログラムをリリースしたので、クライアントを更新する必要があります) 。
「これらの初期世代の技術を生かし続けるのは不確実性です」とハントは言いました。
ブラウザの問題を修正
最新の標準に準拠したWebブラウザーを使用します。 Mozillaは11月25日に予定されているFirefoxの次のバージョンでSSL 3.0をデフォルトで無効にし、GoogleはそれをChromeからスクラブしています。 SafariはSSLを自動的に有効にしますが、Appleはブラウザの計画についてまだ検討していません。 Microsoftは、WindowsデスクトップおよびサーバーからSSL 3.0を無効にする手順を含むアドバイザリを投稿しました。
NetIQのソリューションアーキテクトであるGarve Haysは、次のように述べています。「Internet Explorer 10または11のように、Microsoftを嫌う必要はありません。
IEでSSL 3.0を手動でオフにするには、[インターネットオプション]メニューの[詳細設定]タブにある[SSL 3.0]ボックスをオフにします。 Firefoxユーザーは、ブラウザーでabout.configにアクセスし、 security.tls.version.min の値を1に変更する必要があります。また、MozillaアドオンをダウンロードしてSSL 3.0を無効にすることもできます。 SSL 3.0を無効にするChromeユーザーは、コマンドラインフラグ --ssl-version-min = tls1 をブラウザーに追加できます。
Safariユーザーは、更新が来るたびに更新を待つ必要があります。 Safariを一時的にオフにすると、Poodle攻撃の可能性が低くなります。
Microsoftが4月にWindows XPのサポートを停止したとき、オペレーティングシステムへのアップグレードの理由が分からないと主張する抵抗がまだありました。 それらのユーザーがまだInternet Explorer 6を使用している場合、ユーザーは物事がオンラインで中断するのを見始めるでしょう。 CloudFlareは、無料プランを使用する200万のサイトを含む、ホストするすべてのサイトでSSL 3.0をデフォルトで無効にしています。 Cloudflare氏によると、この決定による影響は、サイトへのすべてのトラフィックの1%未満です。 多くの企業は、Twitterの例に従ってサイトのサポートをオフにします。 それでもIE 6またはWindows XPを使用している場合は、 本当に アップグレードする必要があります。
「今日IE 6を実行している(はい、まだいくつかあります)場合、「理由」が原因でアップグレードする選択肢がありません。
