En ny udnyttelse er i din browser lige nu - Sådan beskytter du dig selv
Når du taler på internettet, skal du være enig om et sprog, som du skal kommunikere med. Hvad hvis du vil tale privat? Nå er der kryptering til det. Men ligesom enhver anden form for kommunikation skal du også have en form for kryptering, som du kan bruge indbyrdes med, som du snakker med. Da ikke alle browsere bruger de samme algoritmer, skal servere undertiden holde kompatibilitet med algoritmer, som kan være ret farlige. Google har for nylig opdaget en udnyttelse, der i øjeblikket kan påvirke millioner af browsere over hele verden, der bruger en sådan algoritme, og vi skal tale om det!
Hvad skete der?
Husk at Heartbleed bug, der blev rapporteret på næsten alle tech hjemmeside? Her er nedbruddet, hvis du ikke vil læse en hel tekstmur: OpenSSL (krypteringsalgoritmbiblioteket, der bruges af mange websteder rundt om i verden) havde et hul i det. De fleste mellemstore og store websites har installeret det optimalt ved blot at opgradere OpenSSL. Det var alting og støvet, indtil der var sket noget andet.
Denne gang, hvad der bliver kendt som POODLE udnytter igen plager Secure Sockets Layer (SSL), omend en anden version af det helt. SSL 3.0 har en alvorlig fejl, der gør det muligt for hackere nemt at dekryptere cookies sendt via HTTP-protokollen. Dette vil lade dem se personlige oplysninger, der tilhører din login session og endda tillade dem at efterligne dig.
Løsningen
SSL 3.0 er meget gammel kryptografi, der går tilbage til de tidspunkter, hvor MySpace stadig voksede som en socialmedias hjemmeside. Faktisk var ordet "sociale medier" ikke engang meget populær da. Mange af dagens millenials kom enten ind i deres teenageår eller spiller stadig i snavs i recess i femte klasse. Det er så gammelt det er, og servere bruger stadig det!
Siden da er der foretaget nogle større forbedringer, såsom Transport Layer Security (TLS). Denne nye kryptografiske protokol eliminerer mange af de store problemer, der var til stede i SSL, som f.eks. Sårbarheder, der førte til bestemte angreb (som krypteringsblokkæden, som blev løst i TLS 1.1). Den eneste grund til, at TLS havde brug for et nyt akronym var, at det ikke længere var "interoperabelt" i SSL. Hvad vi industrielle know-it-alls betyder, når vi siger at noget er "interoperabelt" er, at det er i stand til at arbejde med ældre versioner af noget.
Så SSL 3.0 er død, og nu bruger vi noget, der er kendt som TLS 1.2. Det eneste problem er, at der stadig er mange browsere, der bruger SSL 3.0 til dataoverførsel. Servere understøtter det stadig som en sikker tilbagesendelse, hvis browsere, der forbinder dem, ikke understøtter TLS. Den værste del er, at selvom din browser annoncerer kompatibilitet med TLS, er der ingen garanti for, at serveren ikke reagerer med SSL 3.0. Hackere kan bruge dette til at tvinge din browser og serverne sender dig data til at holde fast ved den gamle protokol. Af denne grund og kun denne årsag er POODLE-udnyttelsen stadig en stor del.
Google har et forslag: Hvorfor stopper vi ikke bare med at understøtte SSL 3.0 og beder alle bruge det til at opgradere? For folk, der kører servere og browserudviklere, er det bedste råd fra Google at understøtte TLS_FALLBACK-SCSV. Du skal blot stoppe med at acceptere SSL-forbindelser og kun acceptere dem på TLS.
I øjeblikket siger Google, at det arbejder på ændringer i Chrome for at forhindre, at det falder tilbage til SSL. Andre browserudviklere kan følge med.
Mit bedste råd til dig er at holde din browser opdateret og sørg for at du ikke går til websteder, du ikke stoler på. Bortset fra det, kan du også sende emailadministratorer med dine bekymringer og knytte dem til denne artikel.
Enhver anden nyttig rådgivning?
Hvis du mener, at du har noget nyttigt at tilføje til denne diskussion, skal du gå videre og lade det stå i en kommentar! Alle skal være opmærksomme på alt, hvad de kan gøre for at opretholde sikkerheden ved al deres oplysninger, når de surfer på internettet.