POODLE 黑客方法为窥探者提供了破解保护 Web 传输的加密的机会。该攻击利用了用于保护 HTTPS 协议的加密方法的弱点。这种安全弱点威胁着电子商务的成功,因为 HTTPS 提供了消费者在网页中自信地输入信用卡详细信息所需的安全性。
安全套接字层
在万维网的早期,Netscape 浏览器占据主导地位。免费浏览器的所有者网景公司希望鼓励公众使用互联网,并发现免费和自动的安全系统将促进互联网销售的增长,从而使网络成为购物场所。他们发明了安全套接字层来提供这种安全性。
相互通信的计算机都需要遵循同一组规则。他们需要使用通用的代码手册,以便请求的接收者能够理解所收到的每条消息的内容,并以请求者可以理解的方式打包回复。这组规则称为协议。
用于请求和传送网页的标准协议称为超文本传输协议。网页地址前面的“https://”表示浏览器正在使用此标准访问该网页的代码。随着超文本传输协议安全“https://”成为标准,这种情况现在变得越来越不常见。顾名思义,它的安全性要高得多,因为 Netscape 的创建者添加了 SSL。
SSL 成为行业标准,HTTPS 迅速成为请求和传送网页的首选方法。 HTTPS 连接中两台计算机之间的数据传输是加密的。当两台计算机建立连接时,客户端(请求者)要求验证服务器的身份。这是由第三方计算机上保存的证书提供的。该证书包含一个公共加密密钥,客户端使用该密钥来加密所有后续消息。
SSL 问题
SSL 发展到第三个版本,称为 SSL 3.0。然而,一些安全漏洞引起了人们对该系统的担忧。能够窃听互联网线路或通过虚假 WiFi 热点吸引流量的黑客可以拦截证书请求并提供自己的副本。除了加密密钥之外,假证书会在每个细节上模仿真证书。然后,受骗的客户端计算机将使用黑客的密钥来加密所有消息。然后,黑客将能够读取客户端计算机发送的所有信息,包括所有者的信用卡详细信息和登录凭据。
这种类型的技巧称为“中间人”攻击。黑客软件解密客户端的消息,存储它,使用服务器的实际加密密钥重新加密它,然后发送它。从服务器传输到客户端的回复将被拦截、重新加密,然后转发。因此,双方都没有意识到他们之间有一个窥探者。
传输层安全
针对 SSL 3.0 的另一种中间人攻击使得互联网工程任务组于 2015 年宣布 SSL 失效。更安全的 SSL 替代方案已经开发出来。这就是传输层安全协议,通常称为 TLS。假证书的问题可以通过程序解决,但加密系统的缺陷意味着整个系统存在根本性缺陷。杀死 SSL 的黑客攻击是围绕用于转换文本以使其加密的块方法展开的。
TLS 现已日趋成熟,并已超越其第一个版本。正如您稍后将读到的,TLS 1.0 可能会被欺骗回滚到 SSL 3.0 过程,因此您还需要保护自己免受该版本协议的影响。
什么是 POODLE SSL 漏洞?
SSL 使用的加密方法的一大安全弱点是 POODLE 的基础。 POODLE 代表“在降级的旧加密上填充 Oracle”。名称中的“Downgraded Legacy”部分将在本报告的下一部分中进行解释。不过,让我们首先看看该恶意软件存在的位置。
POODLE 漏洞利用程序不必驻留在您的计算机上。它可以被引入到您的计算机和浏览器要从中请求网页的服务器之间的任何位置。与许多加密系统一样,SSL 使用密码块链接。这需要一段文本并将其排列成一个块。黑客在每个文本块中注入一个测试字节以揭示加密密钥。
该方法依赖于将 JavaScript 注入正在交付的网页代码中的能力。此事件可能发生在服务器、传输期间或接收计算机上。因此,您无法使用反恶意软件软件来保护自己免受这种攻击,因为恶意程序很可能并不驻留在您的计算机上。
向后兼容性
与世界上任何计算机通信的能力提供了所有网络、互联网和 Web 协议背后的驱动力。不幸的是,并不是每个人都保持软件最新。有些人仍然运行旧版本的浏览器,而一些互联网软件生产商需要时间来创建新版本的程序。
考虑到这一点,互联网协议通常会包含某种形式的向后兼容性。 TLS 的协商过程遵循这一原则。当客户端尝试打开与服务器的会话时,将按照 TLS 协议进行初始联系。但是,如果服务器无法理解该请求,则假定它仍在运行 SSL 3.0。然后,客户端计算机将切换到 SSL 3.0 过程以尝试与服务器建立连接。
这是 POODLE 名称的“Downgraded Legacy”部分。 POODLE 的开发者无法破解 TLS。然而,他们在协议的过程中发现了这种向后兼容性功能。通过强制客户端切换到 SSL 3.0,黑客能够实施众所周知的密码块链接攻击。
由于这是中间人攻击,因此服务器很可能能够使用 TLS。然而,客户端计算机不知道这一点,因为黑客软件假装它是服务器。
在浏览器中禁用 SSL 3.0
您无需购买任何防病毒软件即可击败 POODLE。当使用 TLS 未收到响应时,您只需阻止浏览器尝试 SSL 3.0 中的请求即可。对于 Internet Explorer 和 Google Chrome,该修复特别容易实现,并且无论您运行哪种操作系统,修复效果都是相同的。如果您同时使用两者,则只需在其中一个中阻止 SSL 3.0,另一个将自动具有新设置。
在 Internet Explorer 中禁用 SSL 3.0
您可以按照以下步骤在 Internet Explorer 中禁用 SSL 3.0。
1. 转到 Internet 选项
单击浏览器右上角的齿轮符号,然后从下拉菜单中选择“Internet 选项”。
2. 转到高级 Internet 选项
单击“Internet 选项”屏幕中的“高级”选项卡,然后向下滚动到“设置”面板中的“安全”部分。
3.取消选择SSL 3.0
取消选择“使用 SSL 3.0”和“使用 TLS 1.0”复选框。单击“应用”按钮,然后按“确定”。
谷歌浏览器的说明
Google Chrome 的底层网络设置与 Internet Explorer 的底层网络设置完全相同。您只需通过稍微不同的路线即可进入“设置”屏幕。
1. 进入谷歌浏览器设置
单击浏览器顶部地址字段末尾的菜单,然后从下拉菜单中选择“设置”。
2. 转到高级 Chrome 设置
在“设置”页面中向下滚动并单击“高级”。
3. 进入代理设置
继续向下进入“系统”部分,然后单击“打开代理设置”旁边的方框。
这将打开“Internet 属性”窗口。
4.打开高级代理设置
单击“高级”选项卡,然后向下滚动到“设置”面板中的“安全”部分。
5.取消选择SSL 3.0
取消选择“使用 SSL 3.0”和“使用 TLS 1.0”复选框。单击“应用”按钮,然后按“确定”。
歌剧说明
Opera 12 默认情况下会阻止 SSL 3.0 的使用。因此,保护自己免受 POODLE 侵害的最简单方法是升级浏览器。
1.下载最新的Opera Build
导航至Opera 网站的下载页面。下载适合您的系统的相关版本并安装它。
2. 完成安装并覆盖所有 Opera 安装
让安装程序运行。单击使用条款协议,向导将使用受 POODLE 保护的新版本覆盖您的旧 Opera 版本。
Mozilla Firefox 说明
Mozilla 系统稍微复杂一些。您需要在浏览器上打开一个带有隐藏地址的特殊页面。
1. 转到关于配置设置
在浏览器的地址字段中输入“about:config”。您将受到中世纪诅咒的警告。点击“我会小心的,我保证!”继续。
2. 搜索TLS
在搜索框中输入“tls”,然后双击“security.tls.version.min”。
3. 更改 TLS 设置
在弹出的答案中输入“2”。这将为您提供 TLS 版本 1.1 作为最低安全协议。单击“确定”保存此设置。
Microsoft Edge 的说明
如果您运行 Windows 10,您将拥有 Microsoft Edge。这是 Internet Explorer 的替代品,它是在 POODLE 漏洞发生后编写的,因此它没有回滚到 SSL 3.0 的功能。您无需执行任何操作即可在此浏览器中禁用 SSL 3.0,因为它已被排除。
其他浏览器漏洞
网络浏览器是大多数公众访问互联网的门户,这一事实使它们成为黑客的常见目标。浏览器的生产者意识到新发现的弱点并经常进行更新以关闭这些恶意攻击的访问路径。这就是为什么定期检查您喜爱的浏览器的新版本并安装它们很重要。这Qualys 浏览器检查是检查您的浏览器及其插件是否都是最新的快速方法。
Adobe Flash 播放器
Adobe Flash Player 被发现为黑客提供了进入浏览器的良好途径,因此大多数安全专家建议不要安装其浏览器扩展版本。 Flash 下载到计算机上的 cookie 不会被标准浏览器 cookie 删除功能清除。您可以控制在您访问的网页中包含 Flash 代码闪存块,适用于 Firefox。
在 Chrome 中阻止 Flash
在 Google Chrome 中,您可以按照以下说明选择阻止或控制 Flash 内容。
- 单击地址字段末尾的菜单,然后从下拉菜单中选择“设置”。
- 在“设置”页面中向下滚动并单击“高级”。
- 继续向下浏览页面,然后单击“隐私和安全”部分中的“内容设置”箭头。
- 单击“内容设置”页面中的 Flash 箭头。
- 通过移动页面顶部的两个设置滑块,选择是完全阻止 Flash 还是允许 Flash,但仅在获得特定批准的情况下运行。
在 Internet Explorer 中阻止 Flash
在 Internet Explorer 中,您可以通过控制 Active-X 设置来停止在您访问的页面上运行 Flash 插入。
- 单击浏览器右上角的齿轮。从下拉菜单中选择“安全”,然后单击子菜单中的“ActiveX 过滤”。
- 该选项旁边会出现一个勾号。
- 测试块位于Adobe Flash Player 帮助页面。
在 Microsoft Edge 中阻止 Flash
在 Microsoft Edge 中,您可以按照以下简单步骤阻止 Flash。
- 单击浏览器右上角的三点菜单图标。从下拉菜单中选择设置。
- 在“设置”菜单中,向下滚动并单击“查看高级设置”。
- 将“使用 Adobe Flash Player”滑块单击至“关闭”。
- 测试块位于Adobe Flash Player 帮助页面。
当您访问带有一排社交媒体(例如按钮)的网页时,这些按钮会记录您的访问。因此,即使您没有 Facebook 帐户,Facebook 也会记录您在网络上访问的所有内容。 Twitter 和 Instagram 也会通过页面上的按钮收集数据,即使您没有点击它们。
许多网站包含实际上由其他公司投放的广告空间。网络上的第三方广告领域由 GoogleAds 主导。网站所有者可以通过展示广告赚一点钱。网络广告可能比广告牌或新闻广告复杂得多,因为它们能够收集访问参与网站的人的数据。
您可能已经注意到,如果您访问一个网站,考虑购买他们的产品,但随后没有购买任何东西就离开了,那么您会在您访问的每个后续页面上看到该公司及其产品的广告。这种现象称为重定向或再营销,它是通过跟踪软件实现的。
跟踪器收集您的个人信息以及有关您的计算机、浏览器和浏览活动的数据。这些因素被称为“用户代理”,即使您使用 VPN 隐藏您的身份,也可以帮助识别您的身份。
您可以通过安装浏览器扩展来阻止跟踪。
为 Google Chrome、Opera 和 Firefox 制作浏览器扩展。这是一项免费的 VPN 服务,但它包含其他隐私实用程序,其中包括跟踪器拦截器和社交媒体按钮删除器。即使 VPN 未打开,这些选项也将保护您的计算机。
该扩展程序的“人格分裂”选项会针对那些用户代理因素发送虚假设置数据,即使您使用 VPN 更改了 IP 地址,跟踪器和身份检测软件也可以使用这些数据来识别您的身份。
Windscribe 附加组件有一个名为“安全链接”的功能,它会提供有关加载到浏览器中的每个页面的安全风险的报告。
Windscribe 扩展程序适用于 Google Chrome、Firefox 和 Opera 浏览器。不幸的是,没有适用于 Internet Explorer 或 Microsoft Edge 的版本。
广告拦截加将阻止跟踪器代码并从您访问的网站中删除社交媒体按钮以及阻止广告。这是一个免费的附加组件,适用于 Internet Explorer 和 Microsoft Edge。
隐私弱点
Web 技术的开放性为黑客提供了机会,他们可以通过互联网上每条消息前面的管理标头中包含的小信息来瞄准个人。
用于互联网通信的地址格式意味着可以追踪每个人的位置。网站利用这一弱点,采用区域限制来限制对其内容的访问。想要阻止访问某些网站的政府也会使用此信息来阻止公民访问这些地址。
VPN 通过用临时 IP 地址替换客户的真实地址来掩盖用户的身份。您可能看起来位于另一个位置,并且您进行的每个连接的真实目的地对 Internet 服务提供商是隐藏的,因此 Internet 的入口点无法用于控制对站点的访问。
这最好的VPN通过充当连接的真实来源的替代品来创建隐私。因此,当您的计算机连接到 Web 服务器时,它实际上是连接到 VPN 服务器,然后该服务器代表客户的计算机与所需的服务器进行通信。
POODLE SSL 利用结论
万维网的复杂性涉及大量技术和大量接触点,以便无缝地提供 Web 服务。任何涉及不同公司和技术才能发挥作用的系统都会产生许多潜在的故障点。黑客正是利用了这些弱点。
网络安全是一个不断变化的目标。一旦一个弱点被解决,黑客就会找到另一个弱点。 POODLE漏洞利用是一个例子,说明那些想不劳而获的聪明人如何克服最强大的防御。
就 SSL 而言,“好人”发现了该协议的弱点,并用一种全新的安全方法取代了它:TLS。然而,TLS 设计者的良好意图却造成了黑客可以利用的弱点。 TLS 与 SSL 3.0 的向后兼容性为犯罪分子提供了重蹈覆辙的机会。
保持所有软件更新,以领先于安全漏洞。安全和隐私的斗争是一场持续不断的斗争。不要放弃警惕。确保自己安全。
图片来源:马克·布鲁塞尔 // ShutterStock