Wie vermeide ich die neue SSL-Sicherheitsanfälligkeit?

780
Peter Mortensen

Was kann ich heute tun, um die neue SSL-Sicherheitsanfälligkeit zu vermeiden?

Ich habe den Security Now- Podcast, Episode 223: "Das Problem mit SSL", gehört. MP3 für Episode 223 (42 MB). Abschrift .
Update : Neun Episode später, Episode 232 (2010-01-22), 23 Min. 00 Sek. - 28 Min. 45 Sek., Es wird eine Beschreibung der von IETF ratifizierten Korrektur für die Sicherheitsanfälligkeit beschrieben. MP3 für Episode 232 (48 MB). Abschrift . Auf eWeek gibt es auch einen Artikel: " IETF schließt Korrektur für SSL-Sicherheitsanfälligkeit ". IETF-Entwurf, RFC 5746 .

So wie ich es verstanden habe, handelt es sich um eine sehr schwerwiegende Man-in-the-Middle-Schwachstelle. Entweder muss das Betriebssystem aktualisiert werden, oder der Client kann eine Neuverhandlung ablehnen (ich bin nicht sicher, ob der Client der Webbrowser oder das Betriebssystem ist).

Welche Software wurde aktualisiert? Ich bin normalerweise unter Windows XP, aber ich wäre bereit, einige Linux-Versionen zu installieren, um dieses Problem zu vermeiden. Ist die Installation eines aktualisierten Webbrowsers ausreichend?

Ich möchte etwas online kaufen und möchte sicher sein, dass ich nicht von diesem Problem betroffen bin.

2
Warum denken Sie, dass Ihre tausenden von SSL-gesicherten Transaktionen, die jede Minute stattfinden, in Gefahr sind? Das gleiche wie die Frage "Wie kann ich sicherstellen, dass ein Bus mich nicht fährt"? Es kann passieren, aber es ist so selten, lohnt es sich, spezielle Vorkehrungen zu treffen? Snark vor 14 Jahren 2

3 Antworten auf die Frage

4
Ilari Kajaste

Kurze Antwort: Sie können 1) warten, 2) Verbindungen zu wichtigen Servern an öffentlichen Zugangspunkten vermeiden.

Vor allem, ängst dich nicht zu sehr. Bleiben Sie ruhig und hören Sie sich die Folge-Episoden an, die sich sicherlich mit der Behebung oder Umgehung des Problems befassen werden.

Soweit ich weiß, ist der beschriebene Angriff möglich, indem eine einzelne TLS-Anforderung (auch als SSL bekannt) erstellt wird, die wie authentifiziert aussehen kann. Der Mann kann nie etwas von der Verbindung lesen, er kann nur eine böswillige Anfrage an den Anfang eines sicheren Streams einfügen. Der Angreifer kann die Antwort nicht einmal lesen. Er muss sich also darauf verlassen, dass er eine bösartige Aktion anfordert.

Aber Sie haben recht, in dieser Situation müssen alle sicheren Webserver aktualisiert werden. Es kann auf der Clientseite nicht verhindert werden, daher ist es nicht sinnvoll, Ihr System zu aktualisieren. Die Clients könnten nachfragen, ob der Server weiß, wie er dies verhindern kann, und die Verbindung einfach trennen, wenn der Server nichts davon weiß. Aber ... "Wissen Sie, wenn wir unseren Browsern sagen, dass sie TLS nicht ohne Neuverhandlungsschutz zulassen sollen, könnten wir heute mit niemandem sprechen." Daher ist der Schutz dasselbe wie das einfache Vermeiden von TLS.

Aber bevor es ein Update ist ... na ja die Tatsache bleibt, dass jede TLS - Verbindung auf einem öffentlichen Zugangspunkt geöffnet könnte lautlos durch eine Einbahn böswillige Anfrage voran bekommen. Natürlich möchten Sie nicht, dass dieser Wunsch sagt "X-Geld auf dieses Y-Konto überweisen". :) Andererseits erfordern Banktransaktionen wie diese das Laden mehrerer Seiten und die Kommunikation mit den Anmeldeinformationen, so dass ich dort kein Risiko sehe.

Und da draußen gibt es auch schlimmere und wahrscheinlichere Bedrohungen. Dieses ist gerade besonders interessant, da es momentan offenbar keine Möglichkeit gibt, es zu vermeiden. Sicherheitsleute interessieren sich für solche Dinge. Die Realität scheint zu sein, dass Menschen viel ernsthafter und leichter gefälscht werden können (einfach ist man man-in-the-middle, der alle HTTPS zu unsicherem HTTP macht, und die meisten Leute bemerken es nicht), also nicht Sehen Sie, warum sich jemand mit diesem Angriff beschäftigen würde. Aber um sicherzugehen, würde ich raten, keine Verbindungen zu wichtigen Diensten für öffentliche Zugangspunkte herzustellen.

Vielen Dank, dass Sie aktuelle / spezifische Informationen zu dieser bestimmten Sicherheitsanfälligkeit bereitgestellt haben. Und für Ihre Analyse und Schlussfolgerung. Peter Mortensen vor 14 Jahren 0
Nun, die meisten Informationen stammen aus der gleichen (großartigen) Folge, hoffentlich habe ich es richtig verstanden. :) Ich habe auch ein paar Artikel darüber zur Überprüfung gelesen - es ist wirklich eine interessante Schwachstelle. Ilari Kajaste vor 14 Jahren 1
4
lorenzog

Hier ist eine großartige Antwort von Bruce Schneier, aus der ich zitiere:

Sollten Sie SSL nicht verwenden, bis es behoben ist, und nur für Internetkäufe über das Telefon bezahlen? Sollten Sie einen Schutz herunterladen? Sollten Sie andere Abhilfemaßnahmen ergreifen? Was?

Wenn Sie die IT-Presse regelmäßig lesen, werden Sie diese Art von Frage immer wieder sehen. Die Antwort auf diese besondere Schwachstelle, wie auf so ziemlich jede andere Schwachstelle, über die Sie lesen, ist dieselbe: Nichts tun. Das stimmt, nichts. Keine Panik Ändere dein Verhalten nicht. Ignorieren Sie das Problem und lassen Sie die Anbieter herausfinden.

Die Gründe dafür werden im Blogpost erläutert.

Ein besonders gutes Zitat aus diesem Beitrag lautet: "Die Wahrscheinlichkeit einer bestimmten Schwachstelle, die Sie betrifft, ist gering. Im Internet gibt es viele Fische, und Sie sind nur einer von Milliarden." Ilari Kajaste vor 14 Jahren 0
1
William Hilsum

Hören Sie nicht auf Leute, die versuchen, Sie zu erschrecken! Dies ist sicherlich nicht wert, das Betriebssystem umzustellen.

Verwenden Sie Ihr Internet wie gewohnt mit Ihrem üblichen DNS-Anbieter und machen Sie sich keine Sorgen. Mann in der Mitte Angriffe erfordern ... einen Mann in der Mitte und in einem Standardnetzwerk, das passiert einfach nicht wirklich.

Wenn Sie Wireless verwenden, stellen Sie sicher, dass Sie WPA2 verwenden und Ihre Schlüssel häufig drehen. Wenn Sie Kabel verwenden, muss ich mir keine Sorgen machen.

Verwenden Sie keine öffentlichen Zugangspunkte, da Sie höchstwahrscheinlich jemanden treffen werden, der diese Art von Angriff verwendet.

Stellen Sie sicher, dass Sie einen guten DNS-Anbieter wie OpenDNS verwenden .

Am Ende des Tages könnte Ihr ISP eine benutzerdefinierte Route für einige IPs haben und ALLE DNS-Anfragen fälschen. Sie können alles blockieren / protokollieren / neu routen ... Alles kann im Leben passieren ... Manchmal müssen Sie nur etwas tun Machen Sie weiter mit dem Leben und balancieren Sie die Profis aus!

"Hör nicht auf Leute, die dich erschrecken wollen!" besonders nicht an Steve Gibson !!! : D vor 14 Jahren 3
Ich glaube nicht, dass DNS mit diesem Problem zu tun hat ... Ilari Kajaste vor 14 Jahren 0
Ihr ISP kann zwar mit Standardverbindungen nach Belieben arbeiten, selbst der ISP konnte eine TLS-Verbindung nicht unterbrechen. TLS ist End-to-End- und Browser-zu-Server-sicher. Oder es war gut so. :) Ilari Kajaste vor 14 Jahren 0
Und wenn Sie mich fragen, sind auch die glorreichen Tage von OpenDNS vorbei. Zu viel Spionage für meinen Geschmack. Versuchen Sie es mit einem "ping google.com" - ja, ich weiß, dass sie behaupten, Dell-Computer sollten keine Tippfehler an Google weiterleiten, http://blog.opendns.com/2007/05/22/google-turns-the-page / Immer noch http://forums.opendns.com/comments.php?DiscussionID=226&page=2 ... Arjan vor 14 Jahren 0

Verwandte Probleme