En ny utnytte er i nettleseren din akkurat nå - Hvordan beskytte deg selv
Når du snakker på Internett, må du være enig om et språk som du skal kommunisere med. Hva om du vil snakke privat? Vel, det er kryptering for det. Men akkurat som enhver annen form for kommunikasjon, må du også ha en form for kryptering som du kan bruke gjensidig med hvem du snakker med. Siden ikke alle nettlesere bruker samme algoritmer, må servere noen ganger beholde kompatibilitet med algoritmer som kan være ganske farlige. Google har nylig oppdaget en utnyttelse som i øyeblikket kan påvirke millioner av nettlesere over hele verden som bruker en slik algoritme, og vi skal snakke om det!
Hva skjedde?
Husk at Heartbleed bug som ble rapportert på nesten alle tech nettsider? Her er nedkjøringen hvis du ikke vil lese en hel tekstmur: OpenSSL (krypteringsalgoritmbiblioteket som brukes av mange nettsteder rundt om i verden) hadde et hull i det. De fleste mellomstore og store nettsteder plugget den opp med hell ved å bare oppgradere OpenSSL. Det var alt gjort og støvet til noe annet skjedde.
Denne gangen, det som blir kjent som POODLE-utnytter, plager igjen Secure Sockets Layer (SSL), om enn en annen versjon av den helt. SSL 3.0 har en alvorlig feil som gjør at hackere enkelt kan dekryptere informasjonskapsler sendt over HTTP-protokollen. Dette vil la dem se personlig informasjon som tilhører innloggingssesjonen din og til og med tillate dem å etterligne deg.
Løsningen
SSL 3.0 er veldig gammel kryptering, som dateres tilbake til tiden da MySpace fortsatt fikk traction som et nettsamfunn for sosiale medier. Faktisk var begrepet "sosiale medier" ikke engang veldig populær da. Mange av dagens millenials var enten å skrive inn sine tenåringer eller fortsatt spille i smuss i resesjon i femte klasse. Det er så gammelt det er, og servere bruker det fortsatt!
Siden da har det vært gjort betydelige forbedringer, for eksempel Transport Layer Security (TLS). Denne nye kryptografiske protokollen eliminerer mange av de store problemene som var tilstede i SSL, for eksempel sårbarheter som førte til bestemte angrep (for eksempel kryptering av blokkkjetting som ble løst i TLS 1.1). Den eneste grunnen til at TLS trengte et nytt akronym var at det ikke lenger var "interoperabelt" i SSL. Hva vi industrielle know-it-alls betyr når vi sier at noe er "interoperabelt" er at det er i stand til å jobbe med eldre versjoner av noe.
Så, SSL 3.0 er død, og nå bruker vi noe som kalles TLS 1.2. Det eneste problemet er at det fortsatt er mange nettlesere som bruker SSL 3.0 for dataoverføring. Servere støtter det fortsatt som en sikker tilbakeringing hvis nettleserne som kobler til dem, ikke støtter TLS. Den verste delen er at selv om nettleseren din annonserer kompatibiliteten med TLS, er det ingen garanti for at serveren ikke svarer med SSL 3.0. Hackere kan bruke dette til å tvinge nettleseren din og serverne sender deg data for å holde fast ved den gamle protokollen. Av denne grunn og bare denne grunnen, er POODLE utnytte fortsatt en stor avtale.
Google har et forslag: Hvorfor stopper vi ikke med å støtte SSL 3.0 og be om at alle bruker den til å oppgradere? For folk som kjører servere og nettleserutviklere, er det beste rådet fra Google å støtte TLS_FALLBACK-SCSV. Enkelt sagt, slutte å godta SSL-tilkoblinger og bare godta de på TLS.
For øyeblikket sier Google at det jobber med endringer i Chrome for å hindre at det faller tilbake til SSL. Andre nettleserutviklere kan følge med.
Mitt beste råd til deg er å holde nettleseren oppdatert og sørg for at du ikke går til nettsteder du ikke stoler på. Annet enn det, kan du også sende e-post til websidestyring med dine bekymringer og knytte dem til denne artikkelen.
Noen andre nyttige råd?
Hvis du tror du har noe nyttig å legge til i denne diskusjonen, vennligst gå videre og la den stå i en kommentar! Alle må være oppmerksomme på alt de kan gjøre for å opprettholde sikkerheten til all sin informasjon når de surfer på nettet.