비디오: KTìì´ë¸ë¡, CJì¼ì´ë¸ë· ë± ì´íë¡ì§ ì¤í ë¦¬ì§ ì±ê³µ êµ¬ì¶ ì¬ë¡ (십월 2024)
연구원들은 SSL (Secure Sockets Layer)의 또 다른 심각한 취약점을 발견하여 정보 및 통신의 온라인 보안 방식에 영향을줍니다. 좋은 소식은이 결함을 악용하는 공격을 차단하기 위해 특정 단계를 수행 할 수 있다는 것입니다.
Google 연구원 인 Bodo Möller, Thai Duong 및 Krzysztof Kotowicz는 OpenSSL.org에 게시 된 보안 권고에서 Oracle Padding Oracle On Downgraded Legacy Encryption (POODLE) 공격에 대해 자세히 설명했습니다. 이 취약점은 1996 년에 도입되어 1999 년에 TLS (Transport Layer Security)로 대체 된 SSL 3.0에 있습니다. Poodle은 클라이언트 (웹 브라우저 포함)가 이전의 덜 안전한 프로토콜로 다운 그레이드 될 것이라는 사실을 이용합니다. 보안 연결을 설정할 수 없습니다. 다운 그레이드는 능동적 인 공격자뿐만 아니라 네트워크 결함에 의해 트리거 될 수 있습니다.
Möller는 화요일 오후 구글 온라인 보안 팀 블로그에서 "네트워크 공격자가 연결 실패를 일으킬 수 있기 때문에 SSL 3.0 사용을 유발 한 다음이 문제를 악용 할 수있다"고 밝혔다.
푸들은 세션 쿠키를 공개합니다. 공격자는 전자 메일 계정이나 다른 온라인 서비스에 대한 사용자 암호를 얻지 못하지만 세션 쿠키가 유효한 한 여전히 사용자로 로그인 할 수 있습니다. Errata Security의 Robert Graham은 "따라서 Starbucks에있는 동안 일부 해커가 Twitter 계정에 트윗을 게시하고 모든 Gmail 메시지를 읽을 수 있습니다"라고 말했습니다.
첫번째 방어선
푸들 공격은 피해자의 인터넷 연결을 통제하기 위해 중간자 공격을 설정하는 적의 공격에 의존합니다. 이를 수행하는 한 가지 방법은 커피 숍과 같은 공공 장소에 악성 Wi-Fi 액세스 포인트를 설정하는 것입니다. 공격자는 또한 피해자의 브라우저에서 Javascript 코드를 실행할 수 있어야합니다.
"누군가가 악용하려면 중간자 (man-in-the-middle) 여야합니다. 이는 아마도 NSA로부터 안전하지는 않지만 집에서 해커로부터 안전 할 수 있음을 의미합니다. 그러나 로컬 스타 벅스 또는 기타 암호화되지 않은 Wi-Fi에서는 Graham은 다음과 같이 말했습니다.
따라서 푸들 공격의 성공을 막기 위해 할 수있는 일이 이미 있습니다. 우리가 몇 번이고 말했듯이, 모르는 사람들이 운영하는 공용 Wi-Fi 네트워크 또는 게스트 네트워크에 Willy-nilly를 타지 마십시오. 푸들에 대해 걱정하지 않아도 중간자 (man-in-the-middle) 공격은 심각하며 어떤 네트워크에 연결되어 있는지주의해서 보호합니다.
공용 네트워크를 이용해야하는 경우 직장이나 다양한 VPN 서비스 중에서 VPN을 사용하십시오. PrivateInternetAccess, CyberGhostVPN 및 AnchorFree의 HotSpot Shield와 같은 몇 가지가 있습니다.
공격자는 특수하게 조작 된 Javascript 코드를 실행하도록 설계된 악의적 인 웹 페이지를 방문하도록 사용자를 속일 것입니다. 어떤 사이트를 방문하고 피싱 사이트를 감시하는지주의하십시오.
왜 여전히 SSL 3.0이 있습니까?
대부분의 최신 서버 및 응용 프로그램은 TLS 1.1 또는 1.2를 사용하지만 레거시 응용 프로그램 및 시스템을 지원하기 위해 SSL 3.0이 여전히 널리 사용됩니다. Internet Explorer 6이 좋은 예입니다. IE 6은 예전만큼 눈에 띄지 않지만 오랜 시간 동안 중단되어 SSL 3.0을보다 안전한 TLS와 함께 지원하기 위해 많은 서버와 응용 프로그램이 구축되었습니다. 넷 크래프트는 SSL 웹 서버의 거의 97 %가 취약 할 것으로 추정했다.
보안 연구원 인 트로이 헌트 (Troy Hunt)는“오늘날 대부분의 장소에서 거의 죽일 수있다. 그러나 SSL 3.0으로 돌아가는 능력에 의존 할 수있는 클라이언트가 있기 때문에 문제의 일부일 뿐이다. 우리는 그들이 무엇인지 알지 못하기 때문에 회사가 플러그를 뽑을 의향이 적습니다. 예를 들어, 인기있는 Windows 용 트위터 클라이언트 인 MetroTwit이 SSL 3.0에 의존하고 화요일 저녁 트위터에서 SSL 3.0 지원을 비활성화 한 후 작동이 중지되었다는 Twitter 보고서가있었습니다 (MetroTwit은 핫픽스를 발표 했으므로 클라이언트를 업데이트해야합니다)..
헌트는“이러한 초기 기술을 유지하는 것은 불확실성”이라고 말했다.
브라우저 문제 해결
최신 표준 호환 웹 브라우저를 사용하십시오. Mozilla는 다음 버전의 Firefox에서 기본적으로 SSL 3.0을 비활성화합니다 (11 월 25 일 예상). Google은 Chrome에서 SSL 3.0을 제거합니다. Safari는 SSL을 자동으로 활성화하지만 Apple은 아직 브라우저 계획을 세우지 않았습니다. Microsoft는 Windows 데스크톱 및 서버에서 SSL 3.0을 비활성화하는 방법에 대한 지침을 게시했습니다.
NetIQ의 솔루션 아키텍트 인 Garve Hays는 "Internet Explorer 10 또는 11과 같이 Microsoft를 미워할 필요가 없습니다."라고 말했습니다.
인터넷 옵션 메뉴의 고급 탭에서 SSL 3.0 상자를 선택 취소하여 IE에서 SSL 3.0을 수동으로 끌 수 있습니다. Firefox 사용자는 브라우저에서 about.config로 이동하여 security.tls.version.min 의 값을 1로 변경해야합니다. SSL 추가를 비활성화하기 위해 Mozilla 추가 기능을 다운로드 할 수도 있습니다. SSL 3.0을 비활성화하려는 Chrome 사용자는 명령 줄 플래그 --ssl-version-min = tls1 을 브라우저에 추가 할 수 있습니다.
Safari 사용자는 업데이트가 올 때마다 기다려야합니다. Safari를 일시적으로 사용하지 않으면 푸들 공격의 가능성이 줄어 듭니다.
Microsoft가 4 월에 Windows XP 지원을 중단 한 후에도 운영 체제로 업그레이드 할 이유가 없다고 주장하는 사람들이 여전히있었습니다. 해당 사용자가 여전히 Internet Explorer 6을 사용하고 있다면 온라인에서 문제가 발생하는 것을 볼 수 있습니다. CloudFlare는 무료 요금제를 사용하는 2 백만 개의 사이트를 포함하여 호스팅하는 모든 사이트에 대해 기본적으로 SSL 3.0을 비활성화했습니다. Cloudflare는이 결정이 모든 사이트 트래픽의 1 % 미만에 영향을 줄 것이라고 말했다. 많은 회사들이 Twitter의 예를 따르고 그들의 사이트에서 지원을 해제 할 가능성이 높습니다. 여전히 IE 6 또는 Windows XP를 사용하는 경우 실제로 업그레이드해야합니다.
헌트는 "오늘날 IE 6을 사용하고 있는데 (그렇지만 여전히 일부가있다) '이유'때문에 업그레이드를 선택할 수 없다"고 말했다.
