falha ANORMAL:? Como proteger-se agora

manchas ANORMAL ainda são dias de distância. Aqui está como se proteger no mesmo período.

ATUALIZADA. Ótimo, ótimo. ANORMAL, o Secure Sockets Layer (SSL) e Transport Layer Security (TLS) buraco de segurança, não é apenas em programas que usam implementação SSL da Apple ou velho OpenSSL. Sabemos agora que FREAK está presente em Secure Channel (SChannel) da Microsoft pilha também.

FREAK permite SSL Man-in-the-middle ataques por causa de decisões de segurança maus feitos há quase duas décadas. Como Andrew Avanessian, EVP de serviços de consultoria e tecnologia da Avecto, me disse em um e-mail, “O ataque FREAK é uma prova clara de quão longe a longa cauda de trechos de segurança. À medida que novas tecnologias surgem e criptografia endurece, muitos basta adicionar em novas soluções sem remover tecnologias desatualizadas e vulneráveis. Isso prejudica efetivamente o modelo de segurança que você está tentando construir. ”

O que os usuários podem fazer

Se você estiver jogando o jogo de segurança em casa, aqui está a lista atual dos programas atual-dia que podem ser atacadas por FREAK. Qualquer programa usando SSL da Microsoft / TLS, como o Internet Explorer (IE) no Windows Vista, 7, 8 e 8.1 e Windows Server 2003. Embora a Microsoft não menciona anteriormente, sistemas operacionais já amplamente apoiadas, como o Windows XP, é seguro presumir que eles são vulneráveis ​​também.

Windows Server 2008 e 2012, se eles são usados ​​como desktops em vez de servidores, também podem ser atacados. Como servidores de suas configurações padrão são seguros porque não suportam o ponto fraco de FREAK: cifras SSL exportação obsoletos. Server 2003, no entanto, não apoiar estas chaves criptográficas fraca SSL e não há nenhuma maneira de desligá-lo.

Além disso, de acordo com a equipe miTLS, que descobriu esta falha de segurança FREAK decrépito, em primeiro lugar, o seguinte SSL / TLS bibliotecas do cliente, são vulneráveis.

Os navegadores da Web que usam essas bibliotecas TLS estão abertos para atacar. Esses incluem

Para ver se o seu sistema cliente específico é vulnerável, execute o check Cliente FREAK Ataque

Apple e Google anunciou que vai lançar correções na próxima semana. Essa é a boa notícia. A má notícia é que enquanto o Google lançará seu correção para o navegador do Android, você ainda terá que esperar em seu telecomm ou dispositivo OEM para emitir o patch para o seu smartphone ou tablet.

Isso deixa um monte de programas ainda em aberto para atacar por agora. Então, vamos começar a corrigi-los.

Primeiro, se você estiver usando o Windows Server 2003 ou XP, você está em apuros. XP não é mais a ser apoiado sem um contrato especial e Windows Server 2003 de vida do suporte termina em julho. Microsoft pode emitir um patch para este problema, mas eu não contaria com isso. É bem passado hora de passar para uma nova versão do Windows para obter com isso já!

Em seguida, se você está rodando o Vista ou versões mais recentes do Windows, você pode tomar as seguintes medidas Microsoft-recomendado como o administrador do sistema para se proteger. No entanto, nem todas as versões do Vista, Windows 7, e 8.x Windows incluem o programa gpedit.msc crítica. Vista Home Premium; Windows 7 Home Premium, Home Basic e Starter e Windows 8.x Home Premium não incluí-lo. Há maneira de adicionar gpedit a estes sistemas, mas não posso recomendar qualquer um deles. Em vez disso você deve apenas usar o Firefox ou o Chrome para a sua navegação na Web até que o patch chega.

Os erros são cada vez mais divulgadas com nomes cativantes e logotipos. Está fazendo um bug ‘cool’ frívola ou essencial?

Seguindo em frente, se você quer corrigir fundamentalmente Windows antes de o patch vem de fora, tipo gpedit.msc na linha de comando e pressione Enter para iniciar o Editor de GPO.

OpenSSL (CVE-2015-0204): versões antes 1.0.1k; BoringSSL:. Versões antes de 10 de novembro de 2014.; LibReSSL:. Versões antes 2.1.2; SecureTransport: é vulnerável. Uma correção está sendo testado; SChannel:. É vulnerável. Uma correção está sendo testado.

versões do Chrome antes de 41 em várias plataformas são vulneráveis;. Internet Explorer. Espere por um patch, mudar para o Firefox ou o Chrome 41, ou desabilitar a troca de chaves RSA conforme detalhado a seguir usando o Group Policy Editor de Objeto; Safari é vulnerável. Espere por um patch, mudar para o Firefox ou o Chrome 41.; navegador Android é vulnerável. Mudar para o Chrome 41.; BlackBerry Browser é vulnerável. Espere por um patch;. Opera no Mac e Android é vulnerável. Update para Opera 28 (quando estável), mudar para o Chrome 41.

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384

Expanda Configuração do computador, Modelos Administrativos, Rede e, em seguida, clique em Configurações de configuração SSL.

Em Configurações de configuração SSL, clique na configuração SSL Cipher Suíte Ordem.

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384

TLS_DHE_DSS_WITH_AES_256_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_256_CBC_SHA

TLS_DHE_DSS_WITH_AES_128_CBC_SHA

TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Isso irá manter seus aplicativos que usam SChannel da Microsoft, como o IE, de se conectar com qualquer site usando essas chaves de criptografia fraca qualidade SSL / TLS.

Em seguida, clique em OK, feche o Editor de GPO e reinicie o computador.

Para servidores Linux e BSD, você deve atualizar imediatamente para a versão mais recente do OpenSSL ou LibReSSL.

Feito isso, eu recomendo que você seguir o guia da Mozilla sobre como configurar o servidor Side TLS. Em particular, você deve usar a configuração recomendada Intermediário. Se você usar a “configuração moderna”, os usuários que tentam acessar o site com o Windows XP ou Android 2.3 não será capaz de se conectar de forma segura com o seu site.

Mozilla recomendar administradores do Web site utilizar o servidor web Ngnix open-source. Isso porque “Nginx fornece o melhor suporte TLS no momento. É o único daemon que fornece OCSP O grampeamento, os parâmetros DH personalizado e todo o sabor das versões TLS de OpenSSL”. Eu segunda recomendação da Mozilla.

A maneira mais fácil de configurar o Apache, Nginx, ou HAProxy para combater FREAK adequadamente é usar o Gerador de Configuração SSL Mozilla. Este programa web gera o código que você precisa para arquivo de configuração do seu servidor web. Eu não posso recomendar o suficiente.

Depois de ter seu servidor configurado, não importa qual sistema operacional ou servidor web que você está usando, consulte a sua configuração com a ferramenta Qualys SSL Labs SSL Test Server. Este programa verifica a existência de inúmeros problemas de SSL.

O que você está procurando hoje é para o potencial de ser atingido por ataques aberração. Se o seu servidor web ainda suporta conjuntos de cifras fracas você tem mais trabalho a fazer. Se o seu servidor suporta TLS_FALLBACK_SCSV, isto também irá protegê-lo de ataques aberração.

Como para os usuários finais, a maneira mais fácil para se manter seguro por agora é usar a versão mais recente do Chrome ou Firefox para o seu web-browsing para agora. Haverá correções para todos os navegadores em poucos dias, mas realmente, por ter uma chance de ter o seu ID e passwords rachado?

 histórias

? Mercado M2M salta para trás no Brasil

prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t dos EUA

WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas

Casa Branca nomeia primeiro Chief Information Security Officer Federal

No painel de SSL Cipher Suíte Ordem, rolar para a parte inferior do painel.

Siga as instruções do rótulo Como modificar essa configuração, e digite o seguinte lista de cifra. Estes são todos os up-to-date, cifras seguras.

O custo de ataques ransomware: $ 1 bilhão este ano; Chrome para iniciar conexões HTTP rotulagem como não segura; O Projeto Hyperledger está crescendo a todo o vapor; Agora você pode comprar um stick USB que destrói tudo em seu caminho

Microsoft revela Windows vulneráveis ​​a falha de SSL FREAK; Apple e Google se preparar patches para falhas SSL FREAK; ANORMAL: Outro dia, outro buraco sério de segurança SSL; Google revela grande falha em desatualizado, mas o protocolo SSL amplamente utilizado; Como remover adware Superfish de seu laptop

Inovação;? Mercado M2M salta para trás no Brasil; Segurança; prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t EUA; Segurança; WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas; Segurança; Casa Branca nomeia primeiro Chefe Federal Information Security Officer