Ernstig beveiligingslek in SSL 3.0 ontdekt
Onderzoekers van Google hebben een ernstig beveiligingslek in het bijna 15 jaar oude SSL 3.0 protocol ontdekt waardoor een netwerkaanvaller informatie uit versleutelde verbindingen kan stelen, zoals cookies en andere informatie. Hiermee zou een aanvaller bijvoorbeeld de sessie van een gebruiker kunnen overnemen. Ondanks de leeftijd wordt SSL 3.0 nog uitgebreid ondersteund. Zo ondersteunen alle browsers het.
In het geval van een bug of verbindingsprobleem met een HTTPS-server zullen browsers op een oudere SSL-versie terugvallen om de verbinding opnieuw te proberen. Een aanvaller die tussen een gebruiker en het internet zit kan deze verbindingsproblemen veroorzaken en zo het gebruik van SSL 3.0 binnen de browser veroorzaken om vervolgens het lek te misbruiken. De aanval wordt door de onderzoekers van Google "POODLE" genoemd, wat staat voor Padding Oracle On Downgraded Legacy Encryption.
Google stelt dat het uitschakelen van de ondersteuning van SSL 3.0, of CBC-mode ciphers met SSL 3.0, voldoende is om het probleem te verhelpen. Dit brengt echter omvangrijke compatibiliteitsproblemen met zich mee. Daarom adviseert Google om TLS_FALLBACK_SCSV te ondersteunen. Dit mechanisme lost het probleem op door mislukte verbindingen opnieuw te proberen en niet op zwakkere encryptie terug te vallen.
Daardoor kan een aanvaller het gebruik van SSL 3.0 niet meer afdwingen. Het voorkomt ook het downgraden naar TLS 1.2, 1.1 of 1.0, wat mogelijk ook toekomstige aanvallen voorkomt. De zoekgigant zal daarnaast de komende maanden in alle clientprogramma's, zoals Google Chrome, de ondersteuning van SSL 3.0 geheel verwijderen. Google-ingenieur Adam Langley stelt dat dit mogelijk al binnen drie maanden gebeurt kan zijn.
Tip voor Chromegebruikers: wie SSL 3.0 nu al in Chrome wil uitschakelen kan hiervoor de volgende command line flag gebruiken: --ssl-version-min=tls1
Mozilla
Ook Mozilla stelt dat zowel websites als browsers SSL 3.0 moeten uitschakelen. Net als Google is ook Mozilla van plan om SSL 3.0 in Firefox uit te schakelen. Dit zal in Firefox 34 gebeuren, die op 25 november moet uitkomen. Verder zal vanaf Firefox 35 het SCSV-mechanisme worden ondersteund. Volgens de opensourceontwikkelaar gebruikt Firefox SSL 3.0 voor slechts 0,3% van de HTTPS-verbindingen. "Dat is een klein percentage, maar vanwege de omvang van het web gaat het nog steeds om miljoenen transacties per dag", zegt Mozilla's Richard Barnes.
Tip voor Firefoxgebruikers: wie SSL 3.0 nu al in Firefox wil uitschakelen moet het volgende doen: tik in de adresbalk about:config en zoek vervolgens naar security.tls.version.min Zet nu de waarde (value) hiervan op 1.
Tor
De ontwikkelaars van Tor laten weten dat de software niet kwetsbaar is, aangezien standaard TLSv1 staat ingeschakeld en er nooit een mechanisme was om op SSLv3 terug te vallen. Daarnaast versleutelt Tor hetzelfde geheim niet op dezelfde manier als er verbindingsproblemen zijn. De POODLE-aanval zal dan ook weinig zin hebben, zelfs als een aanvaller Tor-gebruikers op SSL 3.0 laat terugvallen.
Tor Browser, het programma dat veel Tor-gebruikers gebruiken, is op Firefox gebaseerd en bevat wel het eerder genoemde terugvalmechanisme. Daarom zal ook Tor binnenkort met een nieuwe versie van Tor Brower komen. Tor Browser-gebruikers die zich willen beschermen kunnen de tip voor Firefoxgebruikers volgen.
Microsoft
Naast Mozilla en Google heeft ook Microsoft een waarschuwing afgegeven. SSL 3.0 wordt namelijk door alle ondersteunde Windowsversies ondersteund en zijn dan ook kwetsbaar voor de aanval. Aangezien de aanval alleen in bepaalde gevallen kan worden uitgevoerd stelt Microsoft dat het lek geen groot risico voor gebruikers is. Ook zijn er nog geen aanvallen op het lek waargenomen. Microsoft zou op dit moment de situatie onderzoeken en afhankelijk van de uitkomst met een update komen.
Tip voor IE-gebruikers: wie SSL 3.0 nu al in Internet Explorer wil uitschakelen moet het volgende doen: Ga in het Extra (Tools)-menu naar Internetopties (Internet Options). Kies vervolgens het Geavanceerd (Advanced) tabblad. Verwijder bij het kopje Beveiliging (Security) het vinkje van "SSL 3.0 gebruiken" (USE SSL 3.0) en vink vervolgens het gebruik van TLS 1.0, TLS 1.1 en TLS 1.2 aan als deze opties nog niet zijn aangevinkt. Herstart vervolgens IE.
man-in-the-middle attacks. Dat is wellicht het geval als je overal waar je een WiFi toegang ziet verbinding maakt,
maar voor een groot deel van de gebruikers, zeker van PC's, is dat geen issue. Een beetje minder drukte mag dus wel,
eerst maar eens inventariseren welke sites allemaal onbereikbaar worden zonder SSLv3 en wat daarvan de impact is,
want dat kon nog wel eens meer zijn dan de impact van zo'n lek.
https://www.dfranke.us/posts/2014-10-14-how-poodle-happened.html
man-in-the-middle attacks. Dat is wellicht het geval als je overal waar je een WiFi toegang ziet verbinding maakt,
maar voor een groot deel van de gebruikers, zeker van PC's, is dat geen issue. Een beetje minder drukte mag dus wel,
eerst maar eens inventariseren welke sites allemaal onbereikbaar worden zonder SSLv3 en wat daarvan de impact is,
want dat kon nog wel eens meer zijn dan de impact van zo'n lek.
weet je hoe veel mensen wifi gebruiken en een portable apparaat heden ter dage gebruikt ipv een pc?
juistem..maar impact bepalen is zeer belangrijk in deze.
Bepaalde browsers zullen wellicht breken alhoewel er volgens mij een fallback optie is die ea mitigeert: TLS_FALLBACK_SCSV
man-in-the-middle attacks."
Er zijn genoeg landen met regimes waar het internet "gevoelig" is voor MITM.
eerst maar eens inventariseren welke sites allemaal onbereikbaar worden zonder SSLv3 en wat daarvan de impact is,
want dat kon nog wel eens meer zijn dan de impact van zo'n lek.
Inderdaad ! Iedereen weet nu toch wel dat SSLv3 broken is. Te makkelijk om steeds maar weer het heartbleed incident weer boven water te halen als het woordje SSL valt.
NCSC adviseert ook waar mogelijk SSLv3 uit te zetten: https://www.ncsc.nl/dienstverlening/response-op-dreigingen-en-incidenten/beveiligingsadviezen/NCSC-2014-0641+1.00+Kwetsbaarheid+ in+SSL+3.0+ontdekt.html
Inderdaad ! Iedereen weet nu toch wel dat SSLv3 broken is.
Poodle is onafhankelijk van besturingssysteem en device (bijna alles en iedereen ondersteunt nog SSLv3) terwijl OpenSSL vooral Linux servers betrof.
En om in te gaan op jouw "Iedereen weet nu toch wel": Google maar eens naar: site:un1c0rn.net heartbleed
Je vindt alleen cached pagina's, want un1c0rn zelf is al een tijdje uit de lucht, maar de pagina's zijn vooral van juli en augustus (toen wist "iedereen" wel van Heartbleed - maar beseffen dat je kwetsbaar bent en vervolgens patchen is echt iets anders). Je vindt ontzettend veel lekke servers, en als je kijkt wat er zoal gelekt werd, hou je je hart vast: complete creditcard gegevens (met code); website-, beheer- en VPN wachtwoorden, e-mails etc. Naast veel HikVision camera's met admin:12345 en een heel stel Synology's en WD NASjes, ook veel Fortigate UTM's, Kerio mailservers etc. Verbaas en huiver.
Oh ja, en in datzelfde kader: "al" vorige week kwam HP/Tippingpoint met hun Heartbleed patch, zie http://seclists.org/bugtraq/2014/Oct/58.
Terug naar Poodle. Toegegeven, in het licht van Heartbleed is Poodle een stuk lastiger te exploiten. Maar SSLv3 wordt op veel meer plaatsen gebruikt dan alleen in webbrowsers en webservers, en dat kan het nog heel gemeen maken. Vermoedelijk zullen banken hun servers voor internetbankieren-apps snel patchen, maar geldt dat ook voor andere app/server combinaties waarmee vertrouwelijke gegevens worden uitgewisseld?
Microsoft heeft gisteravond ook een patch voor EAP uitgebracht (dat als onderdeel van IPSec gebruikt kan worden) waarmee nu ook TLS 1.1 en 1.2 worden ondersteund (zie https://technet.microsoft.com/en-us/library/security/2977292.aspx). Hoeveel financiële en andere kritische systemen draaien nog op XP embedded? Wel eens van Siemens S7 gehoord?
Ik ben nog niet zover om te roepen "doorlopen, niets te zien hier"...
Inhoeverre moeten mensen zich hier druk om maken?
Kan de bovenstaande reacties lezen, maar snappen??
Alvast vriendelijk bedankt.
Inhoeverre moeten mensen zich hier druk om maken?
Kan de bovenstaande reacties lezen, maar snappen??
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer
Ga jij met ons de samenwerking aan om Robot Process Automation veilig te im-plementeren, om een audit op de ver-pleegafdeling uit te voeren of om een Research Proposal met inzet van AI te beoordelen? Word onderdeel van ons team!
Adviseur Incidentpreventie en Incidenthandler IBD
De Informatiebeveiligingsdienst (IBD) onder-steunt gemeenten op het gebied van informatiebeveiliging en privacy. Je verhoogt de digitale weerbaarheid van gemeenten. Je draagt daarmee bij aan het voorkomen van incidenten die de dienstverlening van ge-meenten in gevaar kan brengen. En die nadelige gevolgen voor inwoners, bedrijven en de gemeente zelf kunnen hebben.
Senior Security Operations Centre (SOC) Specialist
Nationaal Cyber Security Centrum
Vanuit de verdere professionalisering van onze organisatie hebben wij behoefte aan een senior Security Operations specialist, die vanuit zijn ruime SOC-ervaring inhoudelijk een steunpilaar kan zijn binnen de dagelijkse SOC-processen en daarnaast een trekkende en adviserende rol kan spelen in de verdere doorontwikkeling van deze processen.
Director Cybersecurity &
Risk management
Je hebt kennis van gedragsverandering én informatiebeveiliging en weet hoe mens, techniek en organisatie onlosmakelijk met elkaar verbonden zijn. Onze aanpak onder-scheidt zich door onze focus op de mens binnen de Cybersecurity en Risk manage-ment markt. Jij geeft graag leiding aan professionals en weet hoe je jouw team motiveert en triggert op de inhoud.
(Senior) Onderzoeker Cybersecurity
Nationaal Cyber Security Centrum
Zit cybersecurity diep in je DNA? Ben jij de schakel tussen de cybersecuritypraktijk en de academische onderzoekswereld? Weet jij relevante vragen en opdrachten te destilleren tot concreet onderzoek? Wellicht ben jij dan de gewenste aanvulling op ons team!
Security Officer Bedrijfsvoering
Als Security Officer zorg je dat het infra-structuurplatform, de broncode en de VECOZO-werkplek zo min mogelijk kwets-baarheden kennen. Je stelt daarvoor een beveiligingsplan en een risicoanalyse op. Verder verstrek je hulpmiddelen, werk je nauw samen met de CISO op het bedrijfs-bureau en zorg je waar nodig voor training en evaluatie.
Adviseur Samenwerking
(Landelijk Dekkend
Stelsel)
Nationaal Cyber Security Centrum
Ben jij een echte verbinder die er energie van krijgt om met potentiële partner organisaties in contact te gaan om samenwerkings-mogelijkheden te bespreken? Geloof je in de kracht van samenwerken en bezit je het enthousiasme en de competenties om dit te activeren?