LINUX.ORG.RU

Пудель снова кусается — проблема с дополнением в TLS 1.x

 , , , ,


5

6

Около двух месяцев назад инженер Bodo Möller совместно с Thai Duong and Krzysztof Kotowicz из Google Security Team обнаружил уязвимость в SSL — POODLE (Padding Oracle On Downgraded Legacy Encryption), которая позволяет осуществлять Man-in-the-Middle (MitM) и расшифровать информацию между клиент-сервером.

Теперь (два дня назад), SSL-гуру Adam Langley из Google обнаружил новую уязвимость (CVE-2014-8730) в TLS v1.x, которая, в некоторых реализациях не проверяет дополнение /англ. «padding»/ после дешифровки в режиме CBC.

В новой версии атаку осуществить намного проще: теперь не нужно спускаться с TLS до SSLv3, а просто достаточно вставить вредоносный JavaScript. Успешная атака использует около 256 запросов чтобы дешифровать 1 байт cookie, или 4096 запросов для 16-ти байтного cookie. Это делает атаку достаточно практичной.

Хорошей новостью является факт, что только 10% серверов подвержены данной атаке (судя по докладу SSL Pulse).

Adam Langley упомянул в своём блоге: «Все протоколы до TLS 1.2 с AEAD шифром криптографически поломаны».

Ivan Ristić добавил тест на новую уязвимость в SSL-сканер SSLLabs.

>>> Подробности



Проверено: fallout4all ()

В новой версии атаку осущетсвить намного проще,

>>>>>осущетсвить<<<<<

Kompilainenn ★★★★★ ()

Пипец, нет слов...

iron ★★★★★ ()

по теме: пусть перехватывают, мне не жалко никаких данных

unt1tled ★★★★ ()

Больше уязвимостей богу уязвимостей!

Satou ★★★★ ()

Хорошей новостью является факт, что только 10% серверов подвержены данной атаке

Угу. Вот так и вижу:

- У меня есть 2 новости, хорошая и плохая. Во-первых, у нас каждый десятый сервер с дыренью в безопасности...
- А хорошая какая?
- Это и была хорошая.

NightSpamer ()

Ivan Ristić добавил тест на новую уязвимость в SSLLabs SSL-сканер

Замечательный сайт публикующий список жертв.

kwinto ()

Есть еще здесь тест: poodletest.com
Добавьте в топик.

Indexator ★★★ ()

Фигня, poodle tls не работает на томкате, даже на 6. Плохо зделали уязвимость, тупо

anonymous ()

Пора-бы пуделя переименовать, т.к. «Downgraded Legacy Encryption» в аббревиатуре уже не актуально.

segfault ★★★★★ ()
Ответ на: комментарий от anonymous

why.png? Искренний вопрос, чем плохо то, я только томкат для этого и использую (nginx фронтенд мы выкинули давным давно)?

anonymous ()

Хорошей новостью является факт, что только 10% серверов подвержены данной атаке

расшифруйте

kto_tama ★★★★★ ()
Ответ на: комментарий от Indexator

Там только SSL 3 версия и на стороне браузера. Эта уязвимость полностью на стороне сервера и на клиенте не лечится - ну только если как-то отслеживать java-скрипты, которые пытаются воспользоваться уязвимостью.

Vovka-Korovka ★★★★★ ()
Ответ на: комментарий от unt1tled

пусть перехватывают, мне не жалко никаких данных

Можешь это сказать NATO военщине....

Odalist ★★★★★ ()
Ответ на: комментарий от unt1tled

им нужны мои данные?

А ты сам как думаешь? Разведка не дремлет....

Odalist ★★★★★ ()
Ответ на: комментарий от Odalist

я думаю мои заказы на виски, запросы к порносайтам или переписка с профессорами по имейлу разведке не очень нужны

unt1tled ★★★★ ()
Ответ на: комментарий от unt1tled

а как насчёт психопата-(гея/людоеда/...) работающего во властях, который подыскивает себе жертву, именно такую, которая заказывает виски и общается с профессорами?

такой уже был, например http://reason.com/archives/2013/06/12/three-reasons-the-nothing-to-hide-crowd/2

и если тебе нечего прятать, то может выложишь свои переписки с профессором? а как насчёт особых предпочтений в порно?

anonymous ()
Ответ на: комментарий от unt1tled

По твоим заказам можно определить, в каком состоянии духа ты находишься. Настроения в обществе - важное разведданное.

annonymous ★★ ()
Ответ на: комментарий от annonymous

м, точно

Islay - я в унынии, готовлю революцию
Highlands - вроде все нормально
Lowlands - упоролся и не могу в данный момент воевать на танке
Speyside - самое время напасть на подводную лодку, в которой я живу

unt1tled ★★★★ ()
Ответ на: комментарий от anonymous

могу выложить, но не хочу

а если ты меня ломанешь и достанешь переписку, то пофигу

unt1tled ★★★★ ()
Ответ на: комментарий от unt1tled

могу выложить, но не хочу

Ну всё, начал ломаться как девка.

а если ты меня ломанешь и достанешь переписку, то пофигу

Давай свой внешний IP, порт SSH и рутовый пароль от системы. Фиг с тобой, достану переписку и выложу за тебя.

anonymous ()
Ответ на: комментарий от unt1tled

сегодня "мне нечего прятать", завтра "мне надо спрятать"

думаю не стоит тратить время на несведущих и разъяснять им почему безопасность личной информации важна (не говоря о террористических/и не тер. группах/государствах которые крадут или просто выкупают базы данных о гражданах не только своих но и других стран)

уже много информации и книг написано на эту тему, это как «что такое хорошо, а что такое плохо» для детей должно быть уже понятно

а самое главное, что прячется за приватностью, - так это свобода выбора. если всем на всё наплевать, тогда никто не будет исправлять/находить баги и всё обо всех будет всем известно. и вот тогда конец свободы и настанет, погребут всех под одну гребёнку и избавятся влёгкую. ну вы и никогда не знаете, когда вам вдруг понадобится что-то спрятать. 1 2 3

Вездесущий аргумент «Мне нечего скрывать» http://xakep.ru/58858/

anonymous ()
Ответ на: комментарий от unt1tled

здесь речь не об опыте во взломе SSH / LOR'а, а о факте прямого и постоянного накопления данных о каждом пользователе интернета (и не только интернета) и злоупотреблении ими со стороны некомпетентных, коррумпированных сотрудников власти, взломщиков торгующими подобными данными и тд и тп

anonymous ()

Наверное совпадение

Интересно, что позавчера вечером (9 декабря) не мог зайти в Сбербанк-онлайн (и ещё два других человека тоже), Firefox сообщил, что «online.sberbank.ru uses an invalid security сertificate. The certificate is not trusted because no issuer chain was provided. (Error code: sec_error_unknown_issuer)» (перепечатал со скриншота, вроде без ошибок). Хотя может просто совпадение.

askh ★★★★ ()
Ответ на: Наверное совпадение от askh

Re: Наверное совпадение

10-го такая же фигня была и только из под ff, но зная сбер и ff решил подождать. 11-го заработало.

anc ★★★★★ ()

Да не бугурть ты так. Не пишу я на каждом углу интернета свои номера счетов, настоящее имя и дату рождения.

Просто уязвимость если в ssl/tsl, то по ней передаются (мной) не особо важные данные. И если честно, про террористов с инфой о моих заказах виски, паролями на лоре и личной перепиской я слабо представляю.

unt1tled ★★★★ ()
Последнее исправление: unt1tled (всего исправлений: 1)
Ответ на: комментарий от dexpl

Хм, какая-то беда с сертификатами. УЦ клялись и божились всем бесплатно перевыпустить с sha2. С sha2 сертификатом A+ будет.

imul ★★★★★ ()
Последнее исправление: imul (всего исправлений: 1)
Ответ на: комментарий от anonymous

Фигня, poodle tls не работает на томкате, даже на 6. Плохо зделали уязвимость, тупо

А если SSL через apr заведен?

maxcom ★★★★★ ()
Ответ на: комментарий от unt1tled

То, что ты думаешь, что ты неуловимый джо, не означает, что ты ни для чего не сгодишься когда это понадобится. В 21 веке данные собираются впрок, а уж потом, когда надо будет, достанут из архивов и хрен ты отвертишься.

anonymous ()
Ответ на: комментарий от anonymous

Это интернет, детка. Все что тут написано не имеет никакой ценности ;) и привязять это к кому-то очень и очень проблематично.

unt1tled ★★★★ ()
Ответ на: комментарий от unt1tled

а для кого-то всё имеет ценность

Для меня аргумент «мне нечего скрывать» в основном сводится к «мне всё равно, что происходит, до тех пор, пока это не происходит со мной». Говоря «мне нечего скрывать», вы говорите OK правительству, ущемляющему права миллионов ваших сограждан, возможно в процессе чего будут порушены их жизни.

«Скрывать или не скрывать» - профессор Daniel Solove Очень хорошее изучение аргумента «мне нечего скрывать» (оригинал)

И снова, здесь речь идёт не о том, что написано в интернете, порнухе и сайтах-смешилок, а о людях, которые используют интернет для других, более разумных целей.

Не стоит недооценивать важность информации.

А как насчёт безопасности ваших друзей - которые, в отличии от вас, хотят чтобы их письма к вам оставались доступны только для ваших глаз? Не подумали об этом?

Видимо они делают отличную работу, видя как много несмыслящих и безответсвенных людей. Что может быть лучше, чем несведущее о своих правах население? Иметь и иметь! (иметь со всех сторон - со стороны правительства и со стороны воров или просто людей с не добрыми намерениями) Ведь поймите, что та информация, которую вы считаете бесполезной сейчас, в другое время / в другом месте, может обрести совсем инное значение. Слышашли идиому «преступление всегда можно найти»?

Почитайте например О ценности персональных данных

В дополнение

Неприкосновенность частной жизни

Тайна связи

anonymous ()
Ответ на: а для кого-то всё имеет ценность от anonymous

Да у тебя друг мышление раба развито на столько, что к доктору пора. Вот что значит советская школа. Промытое насквозь сознание. Страх перед своим же правительством. Тьфу.

В мире люди живут без страха, что их полицейские их же повяжут. В правовом гос-ве живут. И любят и ценят своих правозащитников.

unt1tled ★★★★ ()
Ответ на: комментарий от unt1tled

по теме: пусть перехватывают, мне не жалко никаких данных

Широкой ты души человек.

Wizard_ ★★★★★ ()
Ответ на: комментарий от unt1tled

Раб который даже и не осознаёт что он раб :D

Тут пишут не о недоверии государству, а о важности свободы выбора (в т.ч. и шифровать как одно из прав каждого человека). Не все люди как ты, вольно принявшие рабство.

А доверяя государству, вы ничего плохого не делаете, это от вас и ожидается.

Плохо становится тогда, когда ваши данные используются против вас. Очевидно у вас небыло еще такого опыта. Вместо того чтобы цепляться за определенные слова, прочитайте вышеприведенные ссылки и о правах человека.

В противном случае, такое вольное рабство приведет к тому, что государство соберет статистические данные и поменяет закон так, что шифровать будет нелегально. А рабы даже и незаметят как их права ущемили, потому что рабам нечего прятать.

Посмотрите на truecrypt, уже ущемили. Погуглите protonmail.ch and paypal - увидете что их paypal счет закрыли т.к. они предлогоали шифровку в массы. Тем неменнее они выбрали другой способ сбора пожертвований. И многие др. случаи. И все это было в этом году. Так что продолжайте и ничего не скрывайте. Менталитет наплевательский поддержит.

anonymous ()

Ну что ж, всё просто зашибись.

Deleted ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.