Как избежать новой уязвимости SSL?

Question

Что я могу сделать сегодня, чтобы избежать новой уязвимости SSL?

Я слушал подкаст Security Now, выпуск 223: "Проблема с SSL". MP3 для эпизода 223 (42 МБ). Стенограмма
Обновление: девять эпизодов позже, эпизод 232 (2010-01-22), 23 мин 00 с - 28 мин 45 с, есть описание утвержденного IETF исправления этой уязвимости. MP3 для эпизода 232 (48 МБ). Стенограмма На eWeek также есть статья: « IETF завершает исправление уязвимости безопасности SSL ». Проект IETF, RFC 5746.

Насколько я понял, это очень серьезная уязвимость «человек посередине», и либо операционная система должна быть обновлена, либо клиент может отказаться от пересмотра (я не уверен, является ли клиент веб-браузером или операционной системой).

Какое программное обеспечение было обновлено? Я обычно на Windows XP, но я бы хотел установить некоторую версию Linux, чтобы избежать этой проблемы. Достаточно ли установить обновленный веб-браузер?

Я хочу купить что-то онлайн и хочу быть уверенным, что эта проблема не затронет меня.

Answer 1

Краткий ответ: Вы можете 1) ждать, 2) избегать подключений к важным серверам в точках общего доступа.

Прежде всего, не слишком пугайтесь. Сохраняйте спокойствие и слушайте последующие эпизоды, которые наверняка помогут решить проблему или обойти ее.

Насколько я понимаю, описанная атака делает возможным создание одного защищенного запроса TLS (или SSL), который можно сделать похожим на аутентифицированный. Человеку-посреднику никогда не удастся прочитать что-либо из соединения, он может вставить только один вредоносный запрос в начало безопасного потока. Злоумышленник даже не может прочитать ответ, поэтому он должен полагаться на запрос злонамеренного действия.

Но вы правы, эта ситуация требует обновления всех защищенных веб-серверов. Это не может быть предотвращено на стороне клиента, поэтому нет смысла обновлять вашу систему. Что могут сделать клиенты, так это спросить, знает ли сервер , как предотвратить это, и просто отбросить соединение, если сервер ничего об этом не знает. Но ... «вы знаете, если бы мы сказали нашим браузерам не разрешать TLS без защиты пересмотра, мы бы сегодня ни с кем не разговаривали». Таким образом, защита оказывается такой же, как простое избегание TLS.

Но прежде, чем есть исправление ... хорошо, факт остается фактом: любое TLS-соединение, открытое на общедоступной точке доступа, может незаметно предшествовать одностороннему вредоносному запросу. Конечно, вы не хотели бы, чтобы эта просьба говорила "перевести X деньги на этот Y счет". :) Но с другой стороны, подобные банковские транзакции требуют многократной загрузки страниц и связи с учетными данными, поэтому я не вижу там никакого риска.

И там есть и худшие, и более вероятные угрозы. Это просто особенно интересно, поскольку, похоже, в настоящее время нет способа избежать этого. Охранники интересуются такими вещами. Кажется, что реальность такова, что людей можно подделать намного серьезнее и проще (проще всего - человек посередине превращает все HTTPS в незащищенный HTTP, и большинство людей этого не замечают), поэтому я не понять, почему кто-то будет беспокоиться об этой атаке. Но да, чтобы быть в безопасности, я бы посоветовал не открывать соединения с важными службами в точках общего доступа.

Answer 2

Вот отличный ответ Брюса Шнайера, из которого я цитирую:

Разве вы не должны использовать SSL, пока он не исправлен, а платить только за интернет-покупки по телефону? Стоит ли скачивать какую-то защиту? Должны ли вы предпринять какие-то другие корректирующие действия? Какие?

Если вы регулярно читаете IT-прессу, вы будете снова и снова сталкиваться с подобными вопросами. Ответ для этой конкретной уязвимости, как и для любой другой уязвимости, о которой вы читали, тот же: ничего не делать. Это верно, ничего. Не паникуйте Не меняй свое поведение. Проигнорируйте проблему, и пусть продавцы решат это.

Причины этого объясняются в сообщении в блоге.

Answer 3

Не слушайте людей, которые пытаются вас напугать! Это, конечно, не стоит менять операционную систему.

Просто используйте ваш интернет как обычно с вашим обычным провайдером DNS и не волнуйтесь так сильно. Человек в середине атаки требует ... человека в середине и в стандартной сети, этого просто не происходит.

Если вы используете Wireless, убедитесь, что вы используете WPA2 и часто поворачиваете свои ключи, и если вы используете проводной, я бы не беспокоился.

Не используйте общедоступные точки доступа, так как именно здесь вы, скорее всего, столкнетесь с кем-то, кто использует подобные атаки.

Убедитесь, что вы используете хорошего поставщика DNS, такого как OpenDNS.

В конце дня ваш провайдер может иметь собственный маршрут для некоторых IP-адресов и подделывать ВСЕ DNS-запросы, они могут блокировать / регистрировать / перенаправлять все что угодно ... В жизни может случиться все что угодно ... Иногда вам просто нужно жить и балансировать плюсы с минусами!