Дыра в безопасности FREAK более распространена, чем считалось ранее. Вот все, что нужно знать пользователям и системным администраторам, чтобы оставаться в безопасности.
![урод-недостаток-как-защитить-себя-сейчас.jpg](/f/df9032f02f4d8d95127108869ccf83b1.jpg)
До выхода патчей FREAK еще несколько дней. Вот как защитить себя в то же время.
ОБНОВЛЕНО. Отлично, просто великолепно. НЕНОРМАЛЬНЫЙ, дыра в безопасности Secure Sockets Layer (SSL) и Transport Layer Security (TLS), есть не только в программах, использующих реализацию SSL от Apple или старый OpenSSL. Теперь мы знаем, что FREAK присутствует в стеке Secure Channel (SChannel) Microsoft. слишком.
FREAK допускает SSL-атаки типа «человек посередине» из-за плохих решений в области безопасности, принятых почти два десятилетия назад. Как Андрей Аванесян, АвектоИсполнительный вице-президент по консалтинговым и технологическим услугам сказал мне в электронном письме: «Атака FREAK является ярким свидетельством того, как далеко в прошлое простирается длинный хвост безопасности. По мере появления новых технологий и упрочения криптографии многие просто добавляют новые решения, не удаляя устаревшие и уязвимые технологии. Это эффективно подрывает модель безопасности, которую вы пытаетесь построить».
Что могут делать пользователи
Если вы играете в безопасность дома, вот текущий список современных программ, которые могут быть атакованы FREAK. Любая программа, использующая SSL/TLS Microsoft, например Internet Explorer (IE) на Windows Vista, 7, 8 и 8.1 и Windows Сервер 2003. Хотя Microsoft ранее не упоминала об операционных системах, которые больше не поддерживаются широко, таких как Windows XP, можно с уверенностью предположить, что они также уязвимы.
Windows Server 2008 и 2012, если они используются в качестве настольных компьютеров, а не серверов, также могут быть атакованы. В качестве серверов их Конфигурации по умолчанию безопасны, поскольку они не поддерживают слабое место FREAK: устаревшие экспортные SSL-шифры.. Однако Server 2003 поддерживает эти слабые криптографические ключи SSL, и отключить его невозможно.
Кроме того, согласно миTLS Команда, которая обнаружила эту ветхую дыру в безопасности FREAK, в первую очередь уязвима для следующих клиентских библиотек SSL/TLS.
- OpenSSL (CVE-2015-0204): версии до 1.0.1k.
- BoringSSL: версии до 10 ноября 2014 г.
- LibReSSL: версии до 2.1.2.
- SecureTransport: уязвим. Исправление тестируется.
- SChannel: уязвим. Исправление тестируется.
Веб-браузеры, использующие эти библиотеки TLS, открыты для атак. К ним относятся:
- Версии Chrome до 41 на различных платформах уязвимы.
- Интернет Эксплорер. Дождитесь обновления, переключитесь на Firefox или Chrome 41 или отключите обмен ключами RSA, как описано ниже, с помощью редактора объектов групповой политики.
- Сафари уязвимо. Дождитесь патча, переключитесь на Firefox или Chrome 41.
- Браузер Android уязвим. Перейдите на Chrome 41.
- Браузер Blackberry уязвим. Подождите патча.
- Opera на Mac и Android уязвима. Обновите Opera 28 (когда она станет стабильной), переключитесь на Chrome 41.
Чтобы узнать, уязвима ли ваша конкретная клиентская система, запустите команду Проверка клиента атаки FREAK
Apple и Google объявили, что выпустят исправления на следующей неделе. Это хорошие новости. Плохая новость заключается в том, что, хотя Google выпустит исправление для браузера Android, вам все равно придется ждать, пока OEM-производитель вашей телекоммуникационной компании или устройства выпустит исправление на ваш смартфон или планшет.
Это оставляет множество программ на данный момент открытыми для атак. Итак, приступим к их исправлению.
Во-первых, если вы используете Windows Server 2003 или XP, у вас проблемы. XP больше не поддерживается без специального контракта и Срок поддержки Windows Server 2003 заканчивается в июле. Microsoft может выпустить патч для решения этой проблемы, но я бы на это не рассчитывал. Давно пора переходить на более новую версию Windows, так что приступайте уже к этому!
Далее, если вы используете Vista или более поздние версии Windows, вы можете выполнить следующие действия: Рекомендуемые Microsoft действия для системного администратора чтобы защитить себя. Однако не все версии Vista, Windows 7 и Windows 8.x включают важную программу gpedit.msc. Виста Хоум Премиум; Windows 7 Домашняя расширенная, Домашняя базовая и Начальная; и Windows 8.x Home Premium его не включают. Есть способ добавить gpedit в эти системы, но я не могу рекомендовать ни один из них. Вместо этого вам следует просто использовать Firefox или Chrome для просмотра веб-страниц, пока не появится патч.
Смотрите также
Фирменная ошибка: познакомьтесь с людьми, которые называют уязвимости
Баги все чаще обнаруживаются с запоминающимися названиями и логотипами. Делать ошибку «крутой» — легкомысленно или необходимо?
Прочитай сейчасДвигаясь дальше, если вы хотите фундаментально исправить Windows до выхода патча, введите gpedit.msc в командной строке и нажмите Входить чтобы запустить редактор объектов групповой политики.
- Расширять Конфигурация компьютера, административные шаблоны, сеть, а затем нажмите Параметры конфигурации SSL.
- Под Параметры конфигурации SSL, нажмите кнопку Порядок набора шифров SSL параметр.
- в Порядок набора шифров SSL панели, прокрутите ее до нижней части панели.
- Следуйте инструкциям, указанным Как изменить этот параметри введите следующий список шифров. Это все современные, безопасные шифры.
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Это не позволит вашим приложениям, использующим SChannel Microsoft, таким как IE, подключаться к любому веб-сайту, использующему эти некачественные ключи шифрования SSL/TLS.
Затем нажмите ХОРОШО, закройте редактор объектов групповой политики и перезагрузите компьютер.
Для серверов Linux и BSD необходимо немедленно обновить версию до новейшая версия OpenSSL или LibReSSL.
Безопасность
- 8 привычек высокозащищенных удаленных работников
- Как найти и удалить шпионское ПО с телефона
- Лучшие VPN-сервисы: как сравнить пятерку лучших?
- Как узнать, причастны ли вы к утечке данных, и что делать дальше
После этого я рекомендую вам следовать Руководство Mozilla по настройке TLS на стороне сервера. В частности, вам следует использовать рекомендуемую промежуточную конфигурацию. Если вы используете «Современную конфигурацию», пользователи, пытающиеся получить доступ к вашему веб-сайту с помощью Windows XP или Android 2.3, не смогут безопасно подключиться к вашему веб-сайту.
Mozilla рекомендует администраторам веб-сайтов использовать открытый исходный код Нгникс веб сервер. Это потому что "Nginx обеспечивает лучшую поддержку TLS на данный момент.. Это единственный демон, который обеспечивает сшивание OCSP, настраиваемые параметры DH и полный спектр версий TLS из OpenSSL». Я поддерживаю рекомендацию Mozilla.
Самый простой способ правильно настроить Apache, Nginx или HAProxy для борьбы с FREAK — использовать Генератор конфигурации SSL Mozilla. Эта веб-программа генерирует код, необходимый для файла конфигурации вашего веб-сервера. Я не могу рекомендовать это достаточно высоко.
После настройки сервера, независимо от того, какую операционную систему или веб-сервер вы используете, проверьте свою конфигурацию с помощью Qualys SSL Labs. Тест SSL-сервера инструмент. Эта программа проверяет многочисленные проблемы SSL.
Сегодня вы ищете возможность подвергнуться атакам FREAK. Если ваш веб-сервер по-прежнему поддерживает наборы слабых шифров, вам предстоит еще поработать. Если ваш сервер поддерживает TLS_FALLBACK_SCSV, это также защитит вас от нападений FREAK.
Что касается конечных пользователей, то самый простой способ оставаться в безопасности на данный момент — использовать новейшую версию Chrome или Firefox для просмотра веб-страниц. Через несколько дней будут исправления для всех браузеров, но зачем рисковать, что ваш идентификатор и пароли будут взломаны?
Похожие истории:
- Microsoft обнаружила, что Windows уязвима к уязвимости FREAK SSL
- Apple и Google готовят исправления для уязвимости FREAK SSL
- ФРИК: Еще один день, еще одна серьезная дыра в безопасности SSL
- Google обнаружил серьезную ошибку в устаревшем, но широко используемом протоколе SSL
- Как удалить рекламное ПО Superfish с вашего ноутбука