Новый вид атаки на HTTPS ставит под вопрос дальнейшее существование SSL 3.0

Исследователи безопасности из компании Google представили новый вид атаки POODLE (CVE-2014-3566), которая позволяет атакующему извлечь из зашифрованного канала связи закрытую информацию, такую как содержимое Cookies, которые могут содержать идентификаторы сеанса и коды доступа, что сводит на нет средства обеспечения безопасного соединения на основе протокола SSL 3.0.

Разработчики проекта Mozilla уже заявили о намерении в ближайшее время прекратить поддержку SSL 3.0 и ограничиться поддержкой последних версий протокола TLS в своих продуктах. Аналогичным образом рекомендовано поступить и другим браузерам и владельцам сайтов, заботящимся о безопасности своих пользователей. Сообщается, что прекращение поддержки SSL 3.0 не должно негативно отразиться на работе пользователей, так как по данным Mozilla в настоящее время только 0.3% всех защищённых соединений устанавливаются в Firefox с использованием SSL 3.0 и поддержка данного протокола на сайтах сохраняется в основном для обеспечения совместимости с браузером Internet Explorer 6, сообщает opennet.ru.

Mozilla планирует отключить поддержку SSL 3.0 по умолчанию начиная с выпуска Firefox 34, который намечен на 25 ноября. Кроме того, для обеспечения защиты от атак по понижению версии протокола защищённого соединения, в Firefox 35 планируется добавить поддержку механизма TLS_FALLBACK_SCSV, которые уже добавлен в Chrome начиная с февраля. Для немедленного отключения SSLv3 в Firefox подготовлено специальное дополнение. Компания Google также намерена прекратить поддержку протокола SSL 3.0 в ближайших выпусках Chrome. Патч с реализацией TLS_FALLBACK_SCSV уже подготовлен для ветки OpenSSL 1.0.1.

Атака POODLE (Padding Oracle On Downgraded Legacy Encryption) позволяет восстановить содержимое отдельных секретных идентификаторов, передаваемых внутри зашифрованного SSLv3-соединения, и по своей сути напоминает такие ранее известные виды атак на HTTPS, как BREACH, CRIME и BEAST, но значительно проще для эксплуатации и не требует выполнения каких-то особых условий. Проблеме подвержен любой сайт, допускающий установку защищённых соединений с использованием протокола SSLv3, даже если в качестве более приоритетного протокола указаны актуальные версии TLS. Для отката на SSLv3 атакующие могут воспользоваться особенностью современных браузеров переходить на более низкую версию протокола, в случае сбоя установки соединения.

Для организации атаки требуется получение контроля за трафиком на промежуточном шлюзе и выполнение на стороне браузера клиента JavaScript-кода злоумышленника (в случае получения контроля над транзитным шлюзом, осуществить подстановку JavaScript-кода в незащищённый трафик не составляет труда). Атака строится на возможности выделения в отслеживаемом зашифрованном трафике блоков данных с метками, отправляемыми подставным JavaScript-кодом на сайт, для которого требуется перехватить идентификационные данные, в рамках общего шифрованного канала связи.

Манипулируя тем, что отправляемое JavaScript-кодом содержимое известно за исключением секретного идентификатора, атакующий путем повторной отправки подставных запросов может символ за символом восстановить содержимое искомых данных. Для сокращения числа попыток используется такая особенность SSLv3, как пропуск проверки некоторых данных, сопровождающих зашифрованное сообщение. В частности, зная позицию cookie в зашифрованном сообщении на подконтрольном атакующему узле производится реорганизации SSL-сообщения путём копирования части cookie в хвост сообщения. В большинстве случаев подобная манипуляция приводит к искажениям при расшифровке, но с вероятностью 1 к 256 сообщение декодируется верно, что сигнализирует о правильно подобранном символе. В зависимости от сложности ситуации на подбор Cookie атакующему может потребоваться от 1 до 10 минут.

Для защиты на стороне сервера можно применить следующие настройки:

Nginx: "ssl_protocols TLSv1.2 TLSv1.1 TLSv1;"

Apache: "SSLProtocol -SSLv3 -SSLv2"

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Fortinet выпустил первое в отрасли решение для защиты WAN-сетей

Компания Fortinet сегодня представила свое решение Secure SD-Branch – самое универсальное в отрасли решение для защиты WAN и периферийного доступа, а также создания безопасной сетевой инфраструктуры, которое предназначено для распределенных предприятий. Решение Fortinet Secure SD-Branch дополняет собой портфолио Fortinet Security Fabric и расширяет возможности SD-WAN, обеспечивая защиту сетевого доступа и объединяя управление WAN и сетевой безопасностью в единую интегрированную платформу. Подобная конвергенция позволяет повысить безопасность и прозрачность, уменьшить сложность инфраструктуры, улучшить ее производительность и гибкость, а также снизить общие затраты на ИТ на сетевой периферии.

Джон Мэддисон, исполнительный вице-президент по продуктам и решениям в Fortinet:

«Для успешной конкуренции в условиях современной цифровой экономики предприятиям необходимо обеспечить высококачественное подключение к облаку и защищенный доступ для устройств и пользователей. Обычно компании объединяют свои сетевые решения и решения в области безопасности, в результате появляются архитектуры, которые очень медленно адаптируются и приводят к операционным проблемам. Решение Fortinet Secure SD-Branch является на сегодняшний день единственным доступным на рынке унифицированным решением для WAN периферии, организации защищенных WiFi сетей, коммутации и управления доступом в сеть, которое обеспечивает интегрированную автоматизированную защиту WAN и пограничного доступа из единой консоли».

Новая парадигма управления WAN и периферийным доступом

Сегодняшние клиенты находятся в самом разгаре своей цифровой трансформации, они используют гибридные облачные архитектуры как для удаленных, так и для локальных вычислений, а также для развертывания SaaS приложений, при этом создают по несколько сетевых периферий в дополнение к WAN и инфраструктуре граничного доступа. Этот взрывной рост периферий, каждая из которых требует защиты, вынуждает организации тратить много сил на реализацию надлежащего уровня безопасности в масштабах всего распределенного предприятия. Сложности в управлении этими перифериями, в том числе обусловленные обилием зачастую весьма непростых, пересекающихся по функционалу точечных продуктов и оборудования, делают эту задачу еще более сложной. Увеличение числа подключаемых к филиальным сетям устройств IoT, а также их растущее многообразие открывают новые возможности для хакеров, которые стремятся получить доступ к конфиденциальным данным. Кроме того, заказчики, внедряющие SD-WAN, сталкиваются с необходимостью более тесной интеграции своих LAN платформ, чтобы использовать возможности Secure SD-WAN для работы со всей своей сетью с целью повышения безопасности и расширения возможностей управления.

Поскольку цифровая трансформация продолжает в корне менять способы ведения бизнеса, для организаций важно, чтобы все фрагменты сети были защищены и при этом согласованы друг с другом, чтобы не ставить под угрозу новые возможности цифрового бизнеса. Для полной реализации филиалами компаний своего потенциала, им необходим безопасный доступ к данным и ресурсам в режиме реального времени, где бы ни размещались эти ресурсы.

Обеспечение безопасности WAN и периферии доступа с помощью решения Fortinet Secure SD-Branch

Чтобы помочь современным распределенным предприятиям справиться со всеми сложностями, Fortinet представляет первое в отрасли комплексное решение Secure SD-Branch, которое позволяет заказчикам управлять безопасностью и сетевым доступом как единым целым и расширяет портфолио Fortinet Security Fabric до уровня филиалов. Решение Fortinet Secure SD-Branch состоит из межсетевого экрана нового поколения FortiGate Next-Generation Firewall, инструмента для управления сетевым доступом FortiNAC Network Access Control, коммутатора FortiSwitch и точек доступа FortiAP Access Points.  Решение обеспечивает безопасность в двух ключевых направлениях:

  • Защита сетевой периферии (Network Edge): Теперь в дополнение к межсетевому экрану нового поколения заказчики получают защиту на уровне доступа благодаря коммутатору FortiSwitch и точкам доступа FortiAP. Новое решение позволяет консолидировать инфраструктуру за счет конвергенции функций безопасности и управления сетевым доступом и представляет собой уникальную архитектуру, идеальную для развертывания Secure SD-Branch. Новые точки доступа WiFi 6 FortiAP Access Points обладают увеличенной емкостью и пропускной способностью, удовлетворяя растущие требования к сетевым ресурсам, а новые многогигабитные коммутаторы FortiSwitch обеспечивают повышенную мощность PoE для питания IoT устройств с большим энергопотреблением.
  • Защита на уровне устройств (Device Edge): Контроллер сетевого доступа FortiNAC реализует автоматическое обнаружение, классификацию и безопасность IoT устройств сразу же, как только они подключаются к сети. В этой новой версии FortiNAC release 8.6 улучшено выявление аномалий при сканировании трафика, при этом FortiGate выступает в качестве средства контроля (sensor), и филиалам не требуется устанавливать дополнительное оборудование.

Это уникальное сочетание технологий образует первое в отрасли решение Secure SD-Branch, которое обеспечивает еще более комплексную интеграцию платформ LAN и WAN и предлагает следующие преимущества для заказчиков:

  • Интегрированная безопасность: FortiGate расширяет функции межсетевого экрана нового поколения на уровень сетевого доступа за счет интеграции управления беспроводными сетями и коммутацией. Предлагая управление сетевым доступом (NAC) с использованием FortiGate в качестве средства контроля, решение позволяет улучшить обнаружение новых устройств и повысить прозрачность инфраструктуры, а также обеспечивает возможность выявления аномалий безопасности для оборудования, используемого в филиалах.
  • Упрощенное управление: Автоматическое развертывание и интегрированное управление с помощью единого инструмента упрощает для филиалов развертывание инфраструктуры. Гибкая архитектура предусматривает возможность масштабирования для поддержки филиалов любых размеров с учетом их возможного роста.
  • Снижение общей стоимости владения: Отсутствие лицензионных сборов и необходимости приобретения датчиков сетевого трафика (network traffic sensors), а также упрощение процессов управления с использованием меньшего количества интерфейсов, которым необходимо обучать сотрудников, помогает сократить объём повседневных административных задач, требует меньше времени для развертывания систем и позволяет организациям сэкономить время и деньги.

Fortinet рассматривает сетевую инфраструктуру сквозь призму безопасности, предлагая заказчикам защищенные сетевые решения в рамках платформы Fortinet Security Fabric. С сегодняшним анонсом Fortinet предлагает своим заказчикам возможность с легкостью управлять распределенными филиальными сетями, позволяя им сохранить безопасность на должном уровне, и помогает им не только управлять SD-WAN, но работать на уровне доступа.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru