Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

POODLE – krytyczna podatność w SSLv3

15 października 2014, 13:44 | Aktualności | komentarze 2

Od kilku godzin świat obiega informacja o szczegółach nowego ataku na protokół SSLv3, którego ochrzczono akronimem „POODLE„. Bezpieczeństwo transmisji danych w 2014 roku po raz kolejny dostało siarczysty policzek. 

Padding Oracle On Downgraded Legacy Encryption jest koncepcją zaprezentowaną przez Bodo Möllera, Thai Duong oraz Krzysztofa Kotowicza. W odróżnieniu od innych, głośnych luk z tego roku, POODLE nie celuje w bezpieczeństwo serwerów, a przeglądarek użytkowników.

Efektem wykorzystania nowego błędu w SSLv3 jest powolne poznawanie kolejnych bajtów tekstu jawnego w transmisji zabezpieczonym znakiem „bezpiecznej” kłódki. Charakter ataku wymaga wykorzystanie wielu powtórnych połączeń, więc niełatwo jest poznać treść haseł wysyłanych np. metodą POST, jednak wykradnięcie ciasteczka uwierzytelniającego (z flagą secure), które każdorazowo jest wysyłane przez przeglądarkę jest już bardzo proste.

Atak stanowi więc ogromne zagrożenie. Co gorsza, jedynym lekarstwem jest zaprzestanie używania wadliwej technologii – najlepiej wyłączyć SSLv3 zarówno po stronie serwerów, jak i w swojej przeglądarce.

W sieci pojawiają się kolejne analizy, szczegółowo wyjaśniające naturę ataku. Szczególnie polecamy tekst „How POODLE Happened” (EN). Daniel Fox Franke na swoim blogu wyjaśnia w jaki sposób nowa podatność pozwala stopniowo odkrywać poufne dane w szyfrowanym kanale komunikacyjnym.

W odróżnieniu od innych analiz, ta pozwala zrozumieć problem od podstaw w dużo szerszej perspektywie – można się dowiedzieć dlaczego kilkunastoletnie, przestarzałe protokoły dalej stanowią realne zagrożenie oraz czym jest tzw. downgrade dance przeglądarek. Powyższy tekst przybliża również inne błędy w SSL/TLS oraz pokazuje jaka jest część wspólna tego rodzaju podatności, a przykłady pozwalają dokładnie zrozumieć przyczynę odnalezienia kolejnej luki w protokole zapewniającym bezpieczeństwo transmisji.

Oryginalną treść badań Möllera, Duonga oraz naszego rodaka można przeczytać w dokumencie This POODLE Bites: Exploiting The SSL 3.0 Fallback Security Advisory. Wsparcie (podatność) SSLv3 wśród serwerów można sprawdzić m.in. na stronie Tinfoil Security, a samych przeglądarek na stronie poodletest.com.

Jedno jest pewne – POODLE jest kolejnym gwoździem do trumny dla SSLv3. Miejmy nadzieję, że nowe odkrycie pozwoli w końcu po wielu latach pogrzebać tę technologię raz na zawsze.

 

POODLE - http://pixabay.com/pl/pies-pudel-du%C5%BCy-pi%C4%99kny-pudel-220457/

 

– Adrian “Vizzdoom” Michalczyk dla serwisu Sekurak.pl

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Damian Wąsik

    Fajny art, dzięki.

    Btw: „Wsprarcie”, w drugim paragrafie od dołu :)

    Odpowiedz
  2. Sebastian

    Wydaje mi się, że art. na Sekuraku „Zabawy z padding oracle” wiele tłumaczy.

    Odpowiedz

Odpowiedz