Datorurķēšanas metode POODLE sniedz snooperiem iespēju uzlauzt šifrēšanu, kas aizsargā jūsu tīmekļa pārraides. Uzbrukumā tiek izmantota nepilnība šifrēšanas metodē, kuru izmanto HTTPS protokola aizsardzībai. Šis drošības trūkums apdraud e-komercijas panākumus, jo HTTPS nodrošināja drošību, kas patērētājiem bija nepieciešama, lai pārliecinoši ievadītu kredītkartes datus tīmekļa vietnē..


Drošs ligzdas slānis

Pirmajos Web laikos Netscape pārlūks dominēja. Bezmaksas pārlūka īpašnieki Netscape Corporation vēlējās mudināt publiski izmantot internetu un atklāja, ka bezmaksas un automātiska drošības sistēma veicinās pārdošanas apjomu pieaugumu internetā, tādējādi padarot Web par vietu, kur iepirkties. Viņi izgudroja Secure Socket Layer, lai nodrošinātu šo drošību.

Datoriem, kas savstarpēji sazinās, ir jāievēro viens un tas pats noteikumu kopums. Viņiem jāizmanto kopēja kodu grāmata, lai pieprasījuma saņēmējs varētu saprast katra saņemtā ziņojuma saturu un iesaiņot atbildi tādā veidā, lai pieprasītājs to saprot. Šo noteikumu kopumu sauc par protokolu.

Standarta protokols pieprasījumiem un Web lapu piegādei tiek saukts par hiperteksta pārsūtīšanas protokolu. "http: //" Web lapas adreses priekšā norāda, ka pārlūks izmanto šo standartu, lai piekļūtu Web lapai. Mūsdienās tas kļūst arvien retāk, jo ir drošs hiperteksta pārsūtīšanas protokols "https: //" kļūst par standartu. Kā norāda nosaukums, tas ir daudz drošāk, jo veidotājs Netscape pievienoja SSL.

SSL kļuva par nozares standartu, un HTTPS ātri kļuva par vēlamo Web lapu pieprasīšanas un piegādes metodi. Datu pārsūtīšana starp diviem datoriem HTTPS savienojumā ir šifrēta. Kad abi datori izveido savienojumu, klients (pieprasījuma iesniedzējs) pieprasa pārbaudīt servera identitāti. To nodrošina sertifikāts, kas atrodas trešās puses datorā. Sertifikāts ietver publisku šifrēšanas atslēgu, kuru klients izmanto, lai šifrētu visus nākamos ziņojumus.

SSL problēmas

SSL attīstījās līdz trešajai versijai, kas pazīstama kā SSL 3.0. Tomēr vairākas drošības nepilnības radīja bažas par sistēmu. Hakeris, kurš spēja pieskarties vadam internetā vai piesaistīt trafiku, izmantojot viltus WiFi tīklāju, varēja pārtvert sertifikāta pieprasījumu un iesniegt savu kopiju. Viltus sertifikāts imitē reālo visu, izņemot šifrēšanas atslēgu. Pēc tam aplaupīts klienta dators izmantos hakeru atslēgu, lai šifrētu visus ziņojumus. Pēc tam hakeris varēs nolasīt visu informāciju, ko nosūtīja klienta dators, ieskaitot īpašnieka kredītkartes datus un pieteikšanās akreditācijas datus..

Šāda veida triku sauc par a "cilvēks pa vidu" uzbrukums. Hakeru programmatūra atšifrē klienta ziņojumu, saglabā to, atkārtoti šifrē to ar servera faktisko šifrēšanas atslēgu un pēc tam nosūta to tālāk. Atbildes, kas ceļo no servera uz klientu, tiek pārtvertas, atkārtoti šifrētas un pēc tam pārsūtītas. Tādējādi neviena no pusēm neapzinās, ka starp tām stāv snūpers.

Transporta slāņa drošība

Cita veida cilvēks vidējā uzbrukumā SSL 3.0 lika interneta inženierijas darba grupai pasludināt SSL par nederīgu 2015. gadā. SSL jau bija izstrādāta drošāka alternatīva. Šis ir transporta slāņa drošības protokols, ko parasti dēvē par TLS. Problēmu ar viltotiem sertifikātiem varēja atrisināt procesuāli, taču šifrēšanas sistēmas defekts nozīmēja, ka visai sistēmai ir būtiskas nepilnības. Hack, kas iznīcināja SSL, griežas ap bloķēšanas metodi, ko izmanto, lai tekstu pārveidotu, lai padarītu to šifrētu.

TLS tagad nobriest un ir pārsniegusi savu pirmo versiju. Kā jūs lasīsit vēlāk, TLS 1.0 var pievilināt pie atgriešanās pie SSL 3.0 procedūrām, tāpēc jums arī jāaizsargā pret šo protokola versiju.

Kas ir POODLE SSL exploit??

POODLE pamatā ir lielais drošības vājums, izmantojot SSL izmantoto šifrēšanas metodi. POODLE nozīmē "Oracle polsterējums pazeminātas mantības šifrēšanai." "Pazemināts mantojums" daļa nosaukuma tiks izskaidrota nākamajā šī ziņojuma sadaļā. Tomēr vispirms apskatīsim, kur šī ļaunprātīgā programmatūra pastāv.

POODLE utilītprogrammai nav jābūt jūsu datora iedzīvotājam. To var ieviest jebkur starp datoru un serveri, no kura pārlūkprogramma plāno pieprasīt Web lapu. Tāpat kā daudzas šifrēšanas sistēmas, SSL izmanto šifrēšanas bloku ķēdi. Tas aizņem teksta daļu un sakārto to blokā. Haks katrā teksta blokā ievada vienu testa baitu, lai atklātu šifrēšanas atslēgu.

Metode balstās uz spēju ievadīt JavaScript piegādājamās Web lapas kodā. Šis notikums var notikt serverī, pārraides laikā vai saņēmējā datorā. Tātad, jūs nevarat pasargāt sevi no šī uzbrukuma, izmantojot pret ļaunprātīgu programmatūru, jo ļaunprātīgā programma, visticamāk, nav jūsu datora iedzīvotājs..

Savietojamība atpakaļ

Spēja sazināties ar jebkuru pasaules datoru nodrošina visu tīkla, interneta un Web protokolu virzītājspēku. Diemžēl ne visi regulāri atjaunina savu programmatūru. Daži cilvēki joprojām izmanto vecākas pārlūkprogrammu versijas, un dažiem interneta programmatūras ražotājiem ir nepieciešams laiks, lai izveidotu jaunu programmu versijas.

Paturot to prātā, interneta protokolos ir ierasta prakse iekļaut zināmu atpakaļejošas saderības formu. Sarunu procedūras TLS notiek pēc šī principa. Kad klients mēģina atvērt sesiju ar serveri, sākotnējais kontakts tiks izveidots pēc TLS protokola. Tomēr, ja serveris nesaprot šo pieprasījumu, tiek pieņemts, ka tas joprojām darbojas SSL 3.0. Pēc tam klienta dators pārslēgsies uz SSL 3.0 procedūrām, lai mēģinātu iegūt savienojumu ar serveri.

Tas ir "Pazemināts mantojums" POODLE nosaukuma daļa. POODLE izstrādātāji nevarēja uzlauzt TLS. Tomēr viņi atklāja šo atpakaļejošo saderības funkciju protokola procedūrās. Piespiežot klientu pārslēgties uz SSL 3.0, hakeri spēja īstenot plaši pazīstamo šifru bloķēšanas ķēdes uzbrukumu.

Tā kā šī ir galvenā operācija, serveris, iespējams, var izmantot TLS. Tomēr klienta dators to nezina, jo hakeru programmatūra izliekas, ka tas ir serveris.

Atspējojiet SSL 3.0 savā pārlūkprogrammā

Jums nav jāiegādājas pretvīrusu programmatūra, lai pieveiktu POODLE. Jums vienkārši jābloķē pārlūkprogramma, lai mēģinātu pieprasīt SSL 3.0, kad tas nesaņem atbildi, izmantojot TLS. Labojumu ir īpaši viegli ieviest pārlūkprogrammās Internet Explorer un Google Chrome, un tas ir vienāds neatkarīgi no operētās sistēmas. Ja izmantojat abus, SSL 3.0 ir jābloķē tikai vienā no tiem, un otram automātiski būs jaunie iestatījumi.

Atspējojiet SSL 3.0 pārlūkprogrammā Internet Explorer

Pārlūkprogrammā Internet Explorer varat atspējot SSL 3.0, veicot šīs darbības.

1. Dodieties uz interneta opcijām

Noklikšķiniet uz cog simbola pārlūka augšējā labajā stūrī un atlasiet "Interneta iespējas" no nolaižamās izvēlnes.

Internet Explorer izvēlne

2. Dodieties uz Interneta papildu opcijām

Ekrānā Interneta opcijas noklikšķiniet uz cilnes Papildu un iestatījumu panelī ritiniet uz leju līdz sadaļai Drošība.

Internet Explorer SSL iestatījumi

3. Noņemiet SSL 3.0 izvēles rūtiņu

Noņemiet izvēles rūtiņu "Izmantojiet SSL 3.0"un "Izmantojiet TLS 1.0" izvēles rūtiņas. Noklikšķiniet uz pogas Lietot un pēc tam nospiediet OK.

Norādījumi pārlūkam Google Chrome

Pamatā esošie Google Chrome tīkla iestatījumi ir tieši tādi paši kā pārlūkprogrammai Internet Explorer. Jūs vienkārši nokļūstat ekrānā Iestatījumi pa nedaudz atšķirīgu maršrutu.

1. Dodieties uz Google Chrome iestatījumiem

Noklikšķiniet uz izvēlnes adreses lauka beigās pārlūka augšpusē un nolaižamajā izvēlnē atlasiet Iestatījumi.

Google Chrome izvēlne

2. Atveriet Chrome papildu iestatījumus

Lapā Iestatījumi ritiniet uz leju un noklikšķiniet uz Papildu.

Papildu iestatījumu opcija pārlūkā Google Chrome

3. Atveriet starpniekservera iestatījumus

Dodieties uz leju līdz sadaļai Sistēma un noklikšķiniet uz kvadrāta blakus "Atveriet starpniekservera iestatījumus."

Tiks atvērts interneta rekvizītu logs.

4. Atveriet papildu starpniekservera iestatījumus

Noklikšķiniet uz cilnes Papildu un ritiniet uz leju līdz sadaļai Drošība iestatījumu panelī.

5. Noņemiet SSL 3.0 izvēles rūtiņu

Noņemiet izvēles rūtiņu "Izmantojiet SSL 3.0"un "Izmantojiet TLS 1.0" izvēles rūtiņas. Noklikšķiniet uz pogas Lietot un pēc tam nospiediet OK.

Internet Explorer SSL iestatījumi

Norādījumi operai

SSL 3.0 lietošana pēc noklusējuma ir bloķēta operētājsistēmā 12. Tāpēc vienkāršākais veids, kā pasargāt sevi no POODLE, ir jaunināt pārlūkprogrammu..

1. Lejupielādējiet jaunāko Opera Build

Dodieties uz vietnes Opera lejupielādes lapu. Lejupielādējiet savai sistēmai atbilstošo būvi un instalējiet to.

Opera pārlūka lejupielādes lapa

2. Pabeidziet instalēšanu un pārrakstiet visu operētājsistēmas instalēšanu

Ļaujiet instalētājam iziet cauri. Noklikšķiniet uz līguma par lietošanas noteikumiem un vednis pārrakstīs jūsu veco Opera versiju ar jaunu versiju, kas aizsargāta ar POODLE.

Norādījumi Mozilla Firefox

Mozilla sistēma ir nedaudz sarežģītāka. Jums pārlūkprogrammā ir jāatver īpaša lapa ar slēptu adresi.

1. Dodieties uz sadaļu Par konfigurācijas iestatījumiem

Veids "par: konfigur" pārlūka adreses laukā. Jūs tiksiet brīdināts ar viduslaiku lāstu. Klikšķiniet uz "Es būšu uzmanīgs, es apsolu!" turpināt.

Brīdinājuma ziņojums par Firefox konfigurāciju

2. Meklēt TLS

Ievadiet "tls" meklēšanas lodziņā un pēc tam veiciet dubultklikšķi uz "drošība.tls.versija.min."

TLS iestatījumi Firefox

3. Mainiet TLS iestatījumu

Ievadiet "2" atbildes uznirstošajā logā. Tas jums par TLS 1.1 versiju būs kā minimālais drošības protokols. Noklikšķiniet uz Labi, lai saglabātu šo iestatījumu.

Firefox TLS iestatījumi

Norādījumi Microsoft Edge

Ja jūs darbināt Windows 10, jums būs Microsoft Edge. Tas ir Internet Explorer nomaiņa, un tas tika uzrakstīts pēc POODLE izmantošanas, tāpēc tam nav iespēju atgriezties pie SSL 3.0. Lai atspējotu SSL 3.0 šajā pārlūkprogrammā, jums nekas nav jādara, jo tas jau ir izslēgts.

Citas pārlūka ievainojamības

Tīmekļa pārlūkprogrammas ir vārti uz internetu lielākajai daļai sabiedrības, un tas padara tos par biežiem hakeru mērķiem. Pārlūkprogrammu ražotāji apzinās jaunatklātās nepilnības un bieži atjauno atjauninājumus, lai šos piekļuves ceļus izslēgtu no ļaunprātīgiem uzbrukumiem. Tāpēc ir svarīgi regulāri pārbaudīt, vai nav iecienītākās pārlūkprogrammas jaunas versijas, un tās instalēt. Qualys pārlūka pārbaude ir ātrs veids, kā pārbaudīt, vai visi jūsu pārlūkprogramma un tās spraudņi ir atjaunināti.

Adobe Flash Player

Tika konstatēts, ka Adobe Flash Player ļauj veikt labu ceļu hakeriem pārlūkprogrammās, un tāpēc vairums drošības ekspertu iesaka neinstalēt tā pārlūka paplašinājuma versiju. Sīkfailus, kurus Flash lejupielādē datorā, neizdzēš pārlūka standarta sīkdatņu dzēšanas funkcijas. Varat kontrolēt Flash koda iekļaušanu apmeklētajās Web lapās, izmantojot Flashblock, kas ir pieejams Firefox.

Bloķējiet Flash pārlūkā Chrome

Pārlūkā Google Chrome varat izvēlēties bloķēt vai kontrolēt Flash saturu, izpildot šos norādījumus.

  1. Noklikšķiniet uz izvēlnes adreses lauka beigās un nolaižamajā izvēlnē atlasiet Iestatījumi.
  2. Lapā Iestatījumi ritiniet uz leju un noklikšķiniet uz Papildu.
  3. Turpiniet lapas virzienu un noklikšķiniet uz "Satura iestatījumi" bultiņa sadaļā Privātums un drošība.
  4. Noklikšķiniet uz Flash bultiņas "Satura iestatījumi" lappuse.
  5. Izvēlieties, vai pilnībā bloķēt Flash vai atļaut to, bet darbiniet tikai ar īpašu apstiprinājumu, pārvietojot divus iestatījumu slīdņus lapas augšpusē.

Bloķējiet Flash pārlūkprogrammā Internet Explorer

Pārlūkprogrammā Internet Explorer varat apturēt Flash ieliktņu darbību jūsu apmeklētajās lapās, kontrolējot Active-X iestatījumus.

  1. Noklikšķiniet uz zobrata pārlūka augšējā labajā stūrī. Nolaižamajā izvēlnē atlasiet Drošība un pēc tam noklikšķiniet uz "ActiveX filtrēšana" apakšizvēlnē.
  2. Blakus šai opcijai parādīsies atzīme.
  3. Pārbaudiet bloķēšanu Adobe Flash Player palīdzības lapā.

Bloķējiet Flash programmā Microsoft Edge

Microsoft Edge varat bloķēt Flash, izpildot šīs vienkāršās darbības.

  1. Noklikšķiniet uz trīs punktu izvēlnes ikonas pārlūka augšējā labajā stūrī. Nolaižamajā izvēlnē atlasiet Iestatījumi.
  2. Izvēlnē Iestatījumi ritiniet uz leju un noklikšķiniet uz "Skatīt papildu iestatījumus."
  3. Noklikšķiniet uz "Izmantojiet Adobe Flash Player" slīdnis uz Izslēgts.
  4. Pārbaudiet bloķēšanu Adobe Flash Player palīdzības lapā.

Sociālo mediju pogas un izsekošanas bibliotēkas

Apmeklējot Web lapu, kurā ir tādu sociālo mediju rinda kā pogas, šīs pogas reģistrē jūsu apmeklējumu. Tāpēc, pat ja jums nav Facebook konta, Facebook ieraksta visur, kur atrodaties tīmeklī. Arī čivināt un Instagram datus vāc, izmantojot savas pogas lapā, pat ja jūs uz tām nenoklikšķināt.

Daudzās vietnēs ir vietas reklāmām, kuras faktiski piegādā citi uzņēmumi. Trešo pušu reklāmas sektoru tīmeklī dominē GoogleAds. Vietņu īpašnieki var nopelnīt nedaudz naudas, parādot reklāmas. Tīmekļa reklamēšana var būt daudz sarežģītāka nekā stendi vai preses sludinājumi, jo tām ir iespēja vākt datus par cilvēkiem, kuri apmeklē iesaistītās vietnes.

Jūs, iespējams, pamanījāt, ka, apmeklējot vietni, apsverot iespēju iegādāties viņu produktus, bet pēc tam atstājat neko nepērkot, katrā nākamajā apmeklētajā lapā jūs redzat šī uzņēmuma un tā produktu sludinājumu. Šo fenomenu sauc par atkārtotu mārketingu vai atkārtotu mārketingu, un tas ir iespējams, izmantojot izsekošanas programmatūru.

Izsekotāji vāc jūsu personisko informāciju un datus par jūsu datoru, pārlūkprogrammu un pārlūkošanas darbībām. Šie faktori ir zināmi kā "lietotāju aģenti" un var palīdzēt identificēt jūs pat tad, ja slēpjat savu identitāti ar VPN.

Varat uzvarēt izsekošanu, instalējot pārlūka paplašinājumu.

Windscribe ražo pārlūka paplašinājumu pārlūkprogrammām Google Chrome, Opera un Firefox. Šis ir bezmaksas VPN pakalpojums, taču tajā ietilpst arī citi privātuma utilītprogrammas, kas ietver izsekotāja bloķētāju un sociālo multivides pogu noņemšanas ierīci. Šīs opcijas aizsargā jūsu datoru pat tad, ja nav ieslēgts VPN.

Privātuma aizsardzība pārlūka Windscribe paplašinājumā

"Personības dalīšanās" paplašinājuma opcija izsūta viltotus iestatījumu datus par tiem lietotāja aģentu faktoriem, kurus izsekotāji un identitātes noteikšanas programmatūra var izmantot, lai jūs identificētu, pat ja maināt savu IP adresi ar VPN.

Papildinājumam Windscribe ir funkcija Drošā saite, kas sniedz pārskatu par drošības riskiem katrā lapā, kas tiek ielādēta jūsu pārlūkprogrammā..

Secure.Link ziņojums

Windscribe paplašinājums ir pieejams pārlūkprogrammām Google Chrome, Firefox un Opera. Diemžēl nav pārlūkprogrammas Internet Explorer vai Microsoft Edge versijas.

Adblock Plus bloķēs izsekotāju kodus un noņems sociālo mediju pogas no jūsu apmeklētajām vietnēm, kā arī bloķēs reklāmu. Šis ir bezmaksas papildinājums, un tas ir pieejams pārlūkprogrammām Internet Explorer un Microsoft Edge.

Privātuma trūkumi

Tīmekļa tehnoloģiju atvērtā būtība rada iespējas hakeriem mērķēt uz indivīdu, izmantojot nelielu informāciju, kas atrodas administrācijas galvenēs katra ziņojuma priekšpusē, kas šķērso internetu..

Interneta saziņai izmantoto adrešu formāts nozīmē, ka katru personu var noteikt kādā atrašanās vietā. Šo trūkumu izmanto vietnes, kas izmanto reģionālos ierobežojumus, lai ierobežotu piekļuvi savam saturam. Valdības, kas vēlas bloķēt piekļuvi noteiktām vietnēm, arī izmanto šo informāciju, lai neļautu pilsoņiem sasniegt šīs adreses.

VPN maskē lietotāja identitāti, aizstājot klienta patieso adresi ar pagaidu IP adresi. Var šķist, ka atrodaties citā vietā, un katra izveidotā savienojuma patiesais mērķis ir paslēpts no interneta pakalpojumu sniedzēja, tāpēc piekļuves punktu internetam nevar izmantot, lai kontrolētu piekļuvi vietnēm..

Labākie VPN rada privātumu, darbojoties kā savienojuma reālā avota aizstājējs. Tādējādi, kad jūsu dators izveido savienojumu ar Web serveri, tas faktiski izveido savienojumu ar VPN serveri, kas pēc tam klienta datora vārdā sazinās ar vēlamo serveri..

POODLE SSL izmantošanas secinājums

Web sarežģītība ir saistīta ar lielu tehnoloģiju klāstu un daudziem kontaktpunktiem, lai netraucēti sniegtu tīmekļa pakalpojumus. Jebkura sistēma, kurā iesaistīti dažādi uzņēmumi un tehnoloģijas, lai tā darbotos, rada daudzus potenciālās kļūmes punktus. Tieši šos vājos punktus ļaundari izmanto.

Kiberdrošība ir kustīgs mērķis. Tiklīdz viena vājība tiks izslēgta, hakeri atradīs citu. POODLE izmantošana ir piemērs tam, kā ļoti gudri cilvēki, kuri vēlas nopelnīt naudu par neko, var pārvarēt spēcīgākās aizsardzības iespējas.

SSL gadījumā "labie puiši" atklāja protokola trūkumus un aizstāja to ar pilnīgi jaunu drošības metodi: TLS. Tomēr TLS izstrādātāju labie nodomi radīja vājumu, kuru hakeri var izmantot. TLS atpakaļejošā saderība ar SSL 3.0 piedāvāja noziedzniekiem iespēju atgriezties pie saviem vecajiem trikiem.

Atjauniniet visu programmatūru, lai novērstu drošības trūkumus. Cīņa par drošību un privātumu ir pastāvīga cīņa. Neatsakieties no modrības. Sargājiet sevi.

Attēla kredīts: Marc Bruxelle // ShutterStock

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me