Ошибка FREAK: как защитить себя сейчас

  • Oct 16, 2023

Дыра в безопасности FREAK более распространена, чем считалось ранее. Вот все, что нужно знать пользователям и системным администраторам, чтобы оставаться в безопасности.

урод-недостаток-как-защитить-себя-сейчас.jpg

До выхода патчей FREAK еще несколько дней. Вот как защитить себя в то же время.

ОБНОВЛЕНО. Отлично, просто великолепно. НЕНОРМАЛЬНЫЙ, дыра в безопасности Secure Sockets Layer (SSL) и Transport Layer Security (TLS), есть не только в программах, использующих реализацию SSL от Apple или старый OpenSSL. Теперь мы знаем, что FREAK присутствует в стеке Secure Channel (SChannel) Microsoft. слишком.

FREAK допускает SSL-атаки типа «человек посередине» из-за плохих решений в области безопасности, принятых почти два десятилетия назад. Как Андрей Аванесян, АвектоИсполнительный вице-президент по консалтинговым и технологическим услугам сказал мне в электронном письме: «Атака FREAK является ярким свидетельством того, как далеко в прошлое простирается длинный хвост безопасности. По мере появления новых технологий и упрочения криптографии многие просто добавляют новые решения, не удаляя устаревшие и уязвимые технологии. Это эффективно подрывает модель безопасности, которую вы пытаетесь построить».

Что могут делать пользователи

Если вы играете в безопасность дома, вот текущий список современных программ, которые могут быть атакованы FREAK. Любая программа, использующая SSL/TLS Microsoft, например Internet Explorer (IE) на Windows Vista, 7, 8 и 8.1 и Windows Сервер 2003. Хотя Microsoft ранее не упоминала об операционных системах, которые больше не поддерживаются широко, таких как Windows XP, можно с уверенностью предположить, что они также уязвимы.

Windows Server 2008 и 2012, если они используются в качестве настольных компьютеров, а не серверов, также могут быть атакованы. В качестве серверов их Конфигурации по умолчанию безопасны, поскольку они не поддерживают слабое место FREAK: устаревшие экспортные SSL-шифры.. Однако Server 2003 поддерживает эти слабые криптографические ключи SSL, и отключить его невозможно.

Кроме того, согласно миTLS Команда, которая обнаружила эту ветхую дыру в безопасности FREAK, в первую очередь уязвима для следующих клиентских библиотек SSL/TLS.

  • OpenSSL (CVE-2015-0204): версии до 1.0.1k.
  • BoringSSL: версии до 10 ноября 2014 г.
  • LibReSSL: версии до 2.1.2.
  • SecureTransport: уязвим. Исправление тестируется.
  • SChannel: уязвим. Исправление тестируется.

Веб-браузеры, использующие эти библиотеки TLS, открыты для атак. К ним относятся:

  • Версии Chrome до 41 на различных платформах уязвимы.
  • Интернет Эксплорер. Дождитесь обновления, переключитесь на Firefox или Chrome 41 или отключите обмен ключами RSA, как описано ниже, с помощью редактора объектов групповой политики.
  • Сафари уязвимо. Дождитесь патча, переключитесь на Firefox или Chrome 41.
  • Браузер Android уязвим. Перейдите на Chrome 41.
  • Браузер Blackberry уязвим. Подождите патча.
  • Opera на Mac и Android уязвима. Обновите Opera 28 (когда она станет стабильной), переключитесь на Chrome 41.

Чтобы узнать, уязвима ли ваша конкретная клиентская система, запустите команду Проверка клиента атаки FREAK

Apple и Google объявили, что выпустят исправления на следующей неделе. Это хорошие новости. Плохая новость заключается в том, что, хотя Google выпустит исправление для браузера Android, вам все равно придется ждать, пока OEM-производитель вашей телекоммуникационной компании или устройства выпустит исправление на ваш смартфон или планшет.

Это оставляет множество программ на данный момент открытыми для атак. Итак, приступим к их исправлению.

Во-первых, если вы используете Windows Server 2003 или XP, у вас проблемы. XP больше не поддерживается без специального контракта и Срок поддержки Windows Server 2003 заканчивается в июле. Microsoft может выпустить патч для решения этой проблемы, но я бы на это не рассчитывал. Давно пора переходить на более новую версию Windows, так что приступайте уже к этому!

Далее, если вы используете Vista или более поздние версии Windows, вы можете выполнить следующие действия: Рекомендуемые Microsoft действия для системного администратора чтобы защитить себя. Однако не все версии Vista, Windows 7 и Windows 8.x включают важную программу gpedit.msc. Виста Хоум Премиум; Windows 7 Домашняя расширенная, Домашняя базовая и Начальная; и Windows 8.x Home Premium его не включают. Есть способ добавить gpedit в эти системы, но я не могу рекомендовать ни один из них. Вместо этого вам следует просто использовать Firefox или Chrome для просмотра веб-страниц, пока не появится патч.

Смотрите также

Фирменная ошибка: познакомьтесь с людьми, которые называют уязвимости

Баги все чаще обнаруживаются с запоминающимися названиями и логотипами. Делать ошибку «крутой» — легкомысленно или необходимо?

Прочитай сейчас

Двигаясь дальше, если вы хотите фундаментально исправить Windows до выхода патча, введите gpedit.msc в командной строке и нажмите Входить чтобы запустить редактор объектов групповой политики.

  • Расширять Конфигурация компьютера, административные шаблоны, сеть, а затем нажмите Параметры конфигурации SSL.
  • Под Параметры конфигурации SSL, нажмите кнопку Порядок набора шифров SSL параметр.
  • в Порядок набора шифров SSL панели, прокрутите ее до нижней части панели.
  • Следуйте инструкциям, указанным Как изменить этот параметри введите следующий список шифров. Это все современные, безопасные шифры.

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,

TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,

TLS_DHE_DSS_WITH_AES_256_CBC_SHA,

TLS_DHE_DSS_WITH_AES_128_CBC_SHA,

TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Это не позволит вашим приложениям, использующим SChannel Microsoft, таким как IE, подключаться к любому веб-сайту, использующему эти некачественные ключи шифрования SSL/TLS.

Затем нажмите ХОРОШО, закройте редактор объектов групповой политики и перезагрузите компьютер.

Для серверов Linux и BSD необходимо немедленно обновить версию до новейшая версия OpenSSL или LibReSSL.

Безопасность

  • 8 привычек высокозащищенных удаленных работников
  • Как найти и удалить шпионское ПО с телефона
  • Лучшие VPN-сервисы: как сравнить пятерку лучших?
  • Как узнать, причастны ли вы к утечке данных, и что делать дальше

После этого я рекомендую вам следовать Руководство Mozilla по настройке TLS на стороне сервера. В частности, вам следует использовать рекомендуемую промежуточную конфигурацию. Если вы используете «Современную конфигурацию», пользователи, пытающиеся получить доступ к вашему веб-сайту с помощью Windows XP или Android 2.3, не смогут безопасно подключиться к вашему веб-сайту.

Mozilla рекомендует администраторам веб-сайтов использовать открытый исходный код Нгникс веб сервер. Это потому что "Nginx обеспечивает лучшую поддержку TLS на данный момент.. Это единственный демон, который обеспечивает сшивание OCSP, настраиваемые параметры DH и полный спектр версий TLS из OpenSSL». Я поддерживаю рекомендацию Mozilla.

Самый простой способ правильно настроить Apache, Nginx или HAProxy для борьбы с FREAK — использовать Генератор конфигурации SSL Mozilla. Эта веб-программа генерирует код, необходимый для файла конфигурации вашего веб-сервера. Я не могу рекомендовать это достаточно высоко.

После настройки сервера, независимо от того, какую операционную систему или веб-сервер вы используете, проверьте свою конфигурацию с помощью Qualys SSL Labs. Тест SSL-сервера инструмент. Эта программа проверяет многочисленные проблемы SSL.

Сегодня вы ищете возможность подвергнуться атакам FREAK. Если ваш веб-сервер по-прежнему поддерживает наборы слабых шифров, вам предстоит еще поработать. Если ваш сервер поддерживает TLS_FALLBACK_SCSV, это также защитит вас от нападений FREAK.

Что касается конечных пользователей, то самый простой способ оставаться в безопасности на данный момент — использовать новейшую версию Chrome или Firefox для просмотра веб-страниц. Через несколько дней будут исправления для всех браузеров, но зачем рисковать, что ваш идентификатор и пароли будут взломаны?

Похожие истории:

  • Microsoft обнаружила, что Windows уязвима к уязвимости FREAK SSL
  • Apple и Google готовят исправления для уязвимости FREAK SSL
  • ФРИК: Еще один день, еще одна серьезная дыра в безопасности SSL
  • Google обнаружил серьезную ошибку в устаревшем, но широко используемом протоколе SSL
  • Как удалить рекламное ПО Superfish с вашего ноутбука