الحفاظ على القلطي في الخليج مع السلامة الأساسية للإنترنت

اكتشف الباحثون ثغرة أمنية خطيرة أخرى في طبقة مآخذ التوصيل الآمنة (SSL) والتي تؤثر على كيفية تأمين معلوماتنا واتصالاتنا عبر الإنترنت. والخبر السار هو أنه يمكنك اتخاذ خطوات محددة لمنع الهجمات التي تستغل هذا الخلل.

حدد الباحثون في Google Bodo Möller و Thai Duong و Krzysztof Kotowicz تفاصيل هجوم Padding Oracle On Downgradeed Legacy Encryption (POODLE) في مشورة أمنية منشورة على OpenSSL.org. توجد ثغرة أمنية في SSL 3.0 ، الذي تم تقديمه في عام 1996 ، واستعيض عنه بأمان Transport Layer Security (TLS) في عام 1999. ويستفيد Poodle من حقيقة أن العملاء - متصفحات الويب - سوف ينتقلون إلى البروتوكولات الأقدم والأقل أمانًا. غير قادر على تأسيس اتصال آمن. يمكن أن يكون سبب الرجوع إلى إصدار أقدم من مواطن الخلل في الشبكة بالإضافة إلى المهاجمين النشطين.

"نظرًا لأن مهاجم الشبكة يمكن أن يتسبب في فشل الاتصال ، يمكنه تشغيل استخدام SSL 3.0 ثم استغلال هذه المشكلة" ، كتب مولر في مدونة فريق أمان Google عبر الإنترنت بعد ظهر الثلاثاء.

يعرض Poodle ملفات تعريف ارتباط الجلسة. لن يحصل المهاجمون على كلمة مرور المستخدم لحسابات البريد الإلكتروني أو غيرها من الخدمات عبر الإنترنت ، ولكن سيظل بإمكانهم تسجيل الدخول طالما أن ملف تعريف ارتباط الجلسة صالح. وقال روبرت جراهام من شركة إراتا سيكيوريتي: "وهكذا ، عندما تكون في ستاربكس ، فإن بعض المتسللين بجوارك سيكونون قادرين على نشر التغريدات في حساب Twitter الخاص بك وقراءة جميع رسائل Gmail الخاصة بك".

خط الدفاع الأول

يعتمد هجوم Poodle على الخصم أولاً في إعداد هجوم رجل في الوسط للاستيلاء على اتصال الضحية بالإنترنت. إحدى طرق القيام بذلك هي إعداد نقطة وصول Wi-Fi ضارة في مكان عام مثل المقهى. يجب أن يكون المهاجمون قادرين على تشغيل كود Javascript داخل متصفح الضحية.

"يتطلب الأمر أن يكون شخص ما في الوسط لاستغلاله. هذا يعني أنك ربما تكون في مأمن من المتسللين في المنزل ، على الرغم من أنك غير آمن من NSA. ومع ذلك ، عندما تكون في Starbucks المحلي أو غيره من شبكات Wi-Fi غير المشفرة ، في خطر كبير من هذا الاختراق "، كتب جراهام.

لذلك هناك بالفعل بعض الأشياء التي يمكنك القيام بها لمنع نجاح هجمات Poodle المحتملة. كما قلنا مرارًا وتكرارًا ، لا تقفز على شبكات wifi العامة أو شبكات الضيوف التي يديرها أشخاص لا تعرفهم. حتى لو لم تكن قلقًا بشأن Poodle ، فإن هجمات man-in-the middle خطيرة و تحمي نفسك من خلال الحذر بشأن الشبكات التي تتصل بها.

إذا كنت بحاجة إلى الدخول على شبكة عامة ، فاستخدم VPN ، سواء من مكان عملك أو أي من العديد من خدمات VPN المتاحة. هناك عدد غير قليل منها ، مثل PrivateInternetAccess و CyberGhostVPN و HotSpot Shield الخاص بـ AnchorFree ، على سبيل المثال لا الحصر.

من المحتمل أن يخدع المهاجمون المستخدمين بزيارة صفحة ويب ضارة مصممة لتنفيذ تعليمات برمجية Javascript مصممة خصيصًا. كن حذرًا بشأن المواقع التي تزورها وكن على إطلاع على مواقع التصيد.

لماذا لا يزال لدينا SSL 3.0؟

تستخدم معظم الخوادم والتطبيقات الحديثة TLS 1.1 أو 1.2 ، لكن SSL 3.0 لا يزال يستخدم على نطاق واسع لدعم التطبيقات والأنظمة القديمة. يعد Internet Explorer 6 أحد الأمثلة الجيدة. على الرغم من أن IE 6 غير مرئي كما كان في السابق ، إلا أنه ظل معلقًا لفترة طويلة ، لذا تم إنشاء عدد كبير من الخوادم والتطبيقات لدعم طبقة المقابس الآمنة 3.0 مع طبقة TLS الأكثر أمانًا. قدرت Netcraft أن حوالي 97 بالمائة من خوادم الويب SSL من المحتمل أن تكون معرضة للخطر.

كتب باحث الأمن تروي هانت "يمكن أن تقتلها إلى حد كبير في معظم الأماكن اليوم" ، لكن هذا جزء فقط من المشكلة لأن هناك عملاء قد يعتمدون على القدرة على العودة إلى SSL 3.0. نحن لا نعرف الشركات التي هي ، مما يجعل الشركات أقل استعدادًا لسحب القابس. على سبيل المثال ، كانت هناك تقارير Twitter تفيد بأن MetroTwit ، عميل Twitter الشهير لنظام Windows ، اعتمد على SSL 3.0 وتوقف عن العمل بعد أن قام Twitter بتعطيل SSL 3.0 بدعم مساء الثلاثاء (أصدرت MetroTwit إصلاحًا عاجلاً ، بالمناسبة ، لذا يجب عليك تحديث عميلك).

وقال هانت: "إن عدم اليقين هو الذي يبقي تقنيات الجيل المبكر هذه حية".

إصلاح مشكلة المتصفح

استخدم متصفح ويب حديث متوافق مع المعايير. ستقوم موزيلا بتعطيل طبقة المقابس الآمنة 3.0 بشكل افتراضي في الإصدار التالي من Firefox ، المتوقع في 25 نوفمبر ، وتقوم Google بفكها من Chrome. يقوم Safari بتمكين طبقة مآخذ التوصيل الآمنة (SSL) ، لكن أبل لم تفكر بعد في خططها للمتصفح. نشرت شركة Microsoft مشورة تحتوي على إرشادات حول تعطيل SSL 3.0 من أجهزة كمبيوتر سطح المكتب وخوادم Windows.

يقول Garve Hays ، مهندس الحلول لدى NetIQ: "لا حاجة إلى الكراهية على Microsoft ، كما يفعل Internet Explorer 10 أو 11".

يمكنك إيقاف تشغيل SSL 3.0 يدويًا في IE من خلال إلغاء تحديد مربع SSL 3.0 ضمن علامات التبويب Advanced في قائمة Internet Options. يجب على مستخدمي Firefox الانتقال إلى about.config على المستعرض ، وتغيير قيمة security.tls.version.min إلى 1. يمكنهم أيضًا تنزيل وظيفة إضافية Mozilla لتعطيل SSL 3.0. يمكن لمستخدمي Chrome الذين يرغبون في تعطيل طبقة المقابس الآمنة 3.0 إضافة علامة سطر الأوامر --ssl-version-min = tls1 إلى المتصفح.

سيتعين على مستخدمي Safari انتظار التحديث ، كلما حدث ذلك. الابتعاد عن Safari مؤقتًا سيقلل من احتمال حدوث هجوم على Poodle.

عندما توقفت Microsoft عن دعم نظام التشغيل Windows XP مرة أخرى في أبريل ، ما زالت هناك حالات تعليق تدعي أنها لا ترى سببًا للترقية إلى نظام التشغيل. إذا كان هؤلاء المستخدمون ما زالوا يستخدمون Internet Explorer 6 ، فسوف يبدأون في رؤية الأشياء تتصفح عبر الإنترنت. قامت CloudFlare بتعطيل SSL 3.0 افتراضيًا لجميع المواقع التي تستضيفها ، بما في ذلك 2 مليون موقع تستخدم الخطة المجانية. وقال كلاودفلير إن هذا القرار سيؤثر على أقل من 1 في المائة من جميع الزيارات إلى مواقعها. من المحتمل أن تتبع العديد من الشركات مثال Twitter وتوقف تشغيل الدعم على مواقعها. إذا كنت لا تزال تستخدم IE 6 أو Windows XP ، فأنت بحاجة فعلاً إلى الترقية.

"إذا كنت تقوم بتشغيل IE 6 اليوم (نعم ، فلا يزال هناك البعض) وليس لديك خيار في الترقية لأن" الأسباب "، أنت محشوة" ، كتب هنت.