FREAK fout:? Hoe kun je jezelf nu te beschermen

FREAK patches zijn nog dagen weg. Hier is hoe om jezelf te beschermen in de tussentijd.

UPDATE. Geweldig, gewoon geweldig. FREAK, de Secure Sockets Layer (SSL) en Transport Layer Security (TLS) gat in de beveiliging, is niet alleen in programma’s die SSL-implementatie van Apple of oude OpenSSL gebruiken. We weten nu dat FREAK aanwezig is in Microsoft’s Secure Channel (SChannel) stapelen ook.

FREAK maakt SSL Man-in-the-middle-aanvallen vanwege de slechte beveiliging beslissingen bijna twee decennia geleden. Zoals Andrew Avanessian, EVP van consultancy en IT-diensten Avecto ‘s, vertelde me in een e-mail, “The Freak aanval is duidelijk bewijs van hoe ver terug de lange staart van veiligheid strekt. Als er nieuwe technologieën ontstaan, en cryptografie verhardt, veel simpelweg toevoegen van nieuwe oplossingen zonder het verwijderen van verouderde en kwetsbare technologieën. Dit ondermijnt effectief de security model dat u probeert op te bouwen. ”

Wat gebruikers kunnen doen

Als u de beveiliging spel speelt thuis, hier is de huidige lijst van de huidige-dag programma’s die kunnen worden aangevallen door FREAK. Elk programma met behulp van Microsoft’s SSL / TLS, zoals Internet Explorer (IE) op Windows Vista, 7, 8 en 8.1 en Windows Server 2003. Hoewel Microsoft niet eerder te noemen, niet meer breed ondersteunde besturingssystemen, zoals Windows XP, het is veilig om te veronderstellen dat ze kwetsbaar zijn als goed.

Windows Server 2008 en 2012, als ze gebruikt worden als desktops in plaats van servers, kan ook worden aangevallen. Als servers hun standaard configuraties zijn veilig omdat ze geen ondersteuning voor FREAK’s zwakke plek: verouderde export SSL cijfers. Server 2003, maar ondersteunt deze zwakke SSL cryptografische sleutels en er is geen manier om het uit te schakelen.

Daarnaast is volgens de miTLS Team, dat deze vervallen FREAK veiligheidsgat in de eerste plaats, kunnen de volgende SSL / TLS clientbibliotheken, kwetsbaar.

Webbrowsers dat deze TLS bibliotheken staan ​​open om aan te vallen. Deze omvatten

Om te zien of uw specifieke client-systeem kwetsbaar is, voert u de FREAK Attack Client Controle

Apple en Google hebben aangekondigd dat zij oplossingen zal vrijgeven volgende week. Dat is het goede nieuws. Het slechte nieuws is dat, terwijl Google zijn fix zal vrijgeven voor de Android-browser, zult u nog steeds te wachten op uw telecom of apparaat OEM de patch naar uw smartphone of tablet te geven.

Dat laat veel programma’s nog steeds open voor een aanval voor nu. Dus laten we beginnen de vaststelling van hen.

Ten eerste, als u Windows Server 2003 of XP, je bent in de problemen. XP niet langer wordt ondersteund zonder een speciaal contract en Windows Server 2003 ondersteunen leven eindigt in juli. Microsoft kan een patch voor dit probleem te geven, maar ik zou niet op rekenen. Het is goed verleden tijd om te verhuizen naar een nieuwere versie van Windows zo verder gaan met het al!

Vervolgens, als u werkt met Vista of nieuwere versies van Windows, kunt u de volgende Microsoft-aanbevolen stappen als de systeembeheerder om jezelf te beschermen. Echter, niet alle versies van Vista, Windows 7 en Windows 8.x onder de kritische gpedit.msc programma. Vista Home Premium, Windows 7 Home Premium, Home Basic en Starter en Windows 8.x Home Premium niet opnemen. Er zijn manier om gpedit toe te voegen aan deze systemen, maar ik kan niet een van hen aanraden. In plaats daarvan moet je gewoon gebruik maken van Firefox of Chrome voor uw web browsing totdat de patch komt.

Bugs worden steeds bekendgemaakt met pakkende namen en logo’s. Is het maken van een bug ‘cool’ frivool of essentiële?

Bewegen op, als je wilt om fundamenteel oplossen Windows voordat de patch uitkomt, typ gpedit.msc in een opdrachtregel en druk op Enter om de Groepsbeleidsobjecteditor te starten.

OpenSSL (CVE-2015-0204): versies vóór 1.0.1k; BoringSSL:. Versies vóór 10 november, 2014; LibReSSL:. Versies voor 2.1.2; SecureTransport: is kwetsbaar. Een fix wordt getest; SChannel:. Is kwetsbaar. Een correctie wordt getest.

Chrome-versies vóór 41 op verschillende platformen zijn kwetsbaar;. Internet Explorer. Wachten op een patch, over te schakelen naar Firefox of Chrome 41, of RSA-sleutel te wisselen uit te schakelen zoals hieronder met behulp van de Groepsbeleidsobjecteditor, Safari is kwetsbaar. Wachten op een patch, over te schakelen naar Firefox of Chrome 41.; Android-browser is kwetsbaar. Overschakelen naar Chrome 41.; Blackberry Browser is kwetsbaar. Wachten op een patch;. Opera op Mac en Android is kwetsbaar. Update naar Opera 28 (bij stabiel), overschakelen naar Chrome 41.

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384

Vouw Computerconfiguratie, Beheersjablonen, Netwerk en klik vervolgens op SSL-configuratie-instellingen.

Onder SSL Configuratie-instellingen, klikt u op het SSL Cipher Suite Order setting.

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384

TLS_DHE_DSS_WITH_AES_256_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_256_CBC_SHA

TLS_DHE_DSS_WITH_AES_128_CBC_SHA

TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Dit zal uw applicaties die Microsoft’s SChannel gebruiken, zoals IE te houden, van een verbinding met een website met behulp van deze slechte kwaliteit SSL / TLS encryptiesleutels.

Klik vervolgens op OK, sluit de Groepsbeleidsobjecteditor en start de computer opnieuw op te starten.

Voor Linux en BSD-servers, moet u onmiddellijk updaten naar de nieuwste versie van OpenSSL of LibReSSL.

Dat gedaan, adviseer ik u gids Mozilla’s over hoe het opzetten van Server Side TLS volgen. In het bijzonder moet je de Intermediate aanbevolen configuratie te gebruiken. Als u het gebruik “Modern Configuration,” gebruikers die proberen om uw website met Windows XP of Android 2.3 te bereiken zal niet in staat zijn om een ​​veilige verbinding met uw website.

Mozilla raden website beheerders gebruik maken van de open-source Ngnix webserver. Dat komt omdat “Nginx biedt de beste TLS ondersteuning op dit moment. Het is de enige daemon die OCSP nieten, douane DH parameters, en de volle smaak van TLS versies van OpenSSL biedt.” Ik tweede aanbeveling van Mozilla.

De eenvoudigste manier om het opzetten van Apache, Nginx, of HAProxy om FREAK goed te vechten is om de Mozilla SSL Configuration Generator gebruiken. Deze web-programma genereert de code die u nodig heeft voor uw web server configuratie bestand. Ik kan het niet sterk genoeg aanbevelen.

Zodra u uw server ingesteld, ongeacht welk besturingssysteem of web-server die u gebruikt, controleer uw configuratie met het gereedschap Qualys SSL Labs SSL Server Test. Dit programma controleert voor tal van SSL problemen.

Wat u zoekt voor vandaag voor de potentiële door FREAK aanvallen worden getroffen. Als uw webserver nog steeds ondersteunt zwakke cipher suites heb je meer werk te doen. Als uw server TLS_FALLBACK_SCSV ondersteunt, zal dit u ook beschermen tegen FREAK aanvallen.

Zoals voor de eindgebruikers, de gemakkelijkste manier om veilig te blijven voor nu is naar de nieuwste versie van Chrome of Firefox voor uw web-browsing gebruiken voor nu. Er zullen oplossingen voor alle browsers in een paar dagen, maar echt, waarom neem een ​​kans op het hebben van uw ID en wachtwoorden gekraakt?

 verhalen

? M2M markt stuitert terug in Brazilië

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer

In het paneel ‘SSL Cipher Suite Order, gaat u naar de onderkant van het paneel.

Volg de instructies op het label Hoe om deze instelling te wijzigen, en voer de volgende cipher lijst. Dit zijn alle up-to-date en veilig cijfers.

De kosten van ransomware aanvallen: 1000000000 $ dit jaar; Chrome etikettering HTTP-verbindingen als niet-beveiligde start; de Hyperledger Project groeit als gangbusters; Nu kunt u een USB-stick die alles vernietigt op zijn pad te kopen

Microsoft onthult Windows kwetsbaar voor FREAK SSL fout, Apple en Google te bereiden patches voor FREAK SSL fout; FREAK: Een andere dag, een andere ernstige SSL gat in de beveiliging; Google onthult belangrijke tekortkoming in verouderd, maar veel gebruikte SSL-protocol; Hoe Superfish adware te verwijderen uit uw laptop

Innovatie;? M2M-markt stuitert terug in Brazilië, veiligheid, FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer