我现在能做什么来避免新的 SSL 漏洞?
我一直在听立即安全播客,第 223 集:“SSL 的麻烦”。MP3第 223 集(42 MB)。脚本。
更新:九集之后,第 232 集(2010-01-22),23 分 00 秒 - 28 分 45 秒,有一段描述因特网工程任务组批准修复该漏洞。MP3 第 232 集(48 MB)。脚本。eWeek 上还有一篇文章:“IETF 完成 SSL 安全漏洞修复“。IETF 草案,RFC 5746。
据我了解,这是一个非常严重的中间人漏洞,要么操作系统需要更新,要么客户端可以拒绝重新协商(我不确定客户端是网络浏览器还是操作系统)。
哪些软件已更新?我通常使用 Windows XP,但我愿意安装某个版本的 Linux 以避免此问题。安装更新的 Web 浏览器是否足够?
我想在线购买一些东西并且希望确保不会遇到这个问题。
答案1
简短回答:您可以1)等待,2)避免连接到公共接入点上的重要服务器。
首先,不要太过害怕。保持冷静,听听后续的剧情,肯定会解决或规避问题。
据我所知,所描述的攻击可以创建一个 TLS(又称 SSL)安全请求,并使其看起来像是经过身份验证的。中间人永远不会从连接中读取任何内容,他只能在安全流的开头插入一个恶意请求。攻击者甚至无法读取回复,因此他必须依靠执行并请求恶意操作。
但你是对的,这种情况确实需要更新所有安全的网络服务器。客户端无法阻止,所以更新你的系统是没有意义的。什么客户端可以要做的是询问服务器碰巧知道如何防止这种情况,如果服务器对此一无所知,则直接断开连接。但是...“你知道,如果我们告诉我们的浏览器不允许没有重新协商保护的 TLS,那么我们今天就无法与任何人交谈。”因此,这种保护最终与简单地避免 TLS 相同。
但在解决问题之前……事实上,在公共接入点上打开的任何 TLS 连接可以悄悄地发出单向恶意请求。当然,您不希望该请求说“将 X 资金转入该 Y 帐户”。:) 但话又说回来,像这样的银行交易需要多次页面加载和凭证通信,因此我认为那里没有任何风险。
而且还有更严重、更可能发生的威胁。这个威胁特别有趣,因为目前似乎没有办法避免它。安全人员对这样的事情很感兴趣。现实情况似乎是,人们更容易受到更严重、更严重的欺骗(最简单的一种是中间人将所有 HTTPS 转换为不安全的 HTTP,大多数人不会注意到这一点),所以我不明白为什么有人会费心进行这种攻击。但是,为了安全起见,我建议不要在公共接入点上打开与重要服务的连接。
答案2
以下是布鲁斯·施奈尔,我从中引用:
您是否应该在 SSL 问题修复之前不要使用它,并且只通过电话支付互联网购物费用?您是否应该下载某种保护措施?您是否应该采取其他补救措施?什么?
如果你经常阅读 IT 媒体,你会一次又一次地看到这种问题。对于这个特定的漏洞,以及你读到的几乎任何其他漏洞,答案都是一样的:什么也不做。没错,什么也不做。不要惊慌。不要改变你的行为。忽略这个问题,让供应商来解决它。
博客文章中解释了其原因。
答案3
不要听信那些试图吓唬你的人的话!这当然不值得为了更换操作系统。
只需像平常一样使用您的互联网和常用的 DNS 提供商,就不必太担心。中间人攻击需要...中间人,而在标准网络上,这种情况实际上不会发生。
如果您使用无线,请确保您使用 WPA2 并经常轮换密钥,如果使用有线,我就不用担心。
不要使用公共接入点,因为在这里您最有可能遇到使用此类攻击的人。
确保使用良好的 DNS 提供商,例如开放DNS。
最终,您的 ISP 可能会为某些 IP 设置自定义路由并伪造所有 DNS 请求,他们可以阻止/记录/重新路由任何内容...生活中任何事情都可能发生...有时,您只需继续生活并平衡利弊!