Команда из трех исследователей Google обнаружила неприятную уязвимость в популярном криптографическом протоколе, которая вызвала широкий резонанс среди большинства пользователей интернета, поспешно проводящих оценку безопасности собственных систем.
В опубликованном исследователями Google описывается новый способ атаки под названием POODLE (Padding Oracle On Downgraded Legacy Encryption), позволяющий обойти механизмы защиты на базе криптографического протокола SSL (да-да, этот же протокол фигурировал ранее в этом году, когда была найдена опасная уязвимость Heartbleed). Эта ошибка, которая также известна как «Poodlebleed», не столь опасна и всеобъемлющая, как Heartbleed, но все же сумела посеять панику в сообществе исследователей.
Различные интернет-площадки все активнее внедряют шифрование для защиты важных данных пользователей. Подобные средства защиты существенно усложняют злоумышленникам задачу по перехвату информации, передаваемой по каналам связи. К ним можно отнести криптографические протоколы SSL и TLS, широко используемые для защиты информации, передаваемой между клиентом и сервером. О поддержке тем или иным веб-сайтом защищенного соединения SSL говорит иконка в виде замка зеленого цвета наряду с упоминанием протокола HTTPS в URL ресурса. В случае компрометации SSL перед опытным злоумышленником открывается целый вектор для атаки, которую можно осуществлять из любой точки сети.
В предоставленном исследователями Google отчете данная уязвимость расписана в деталях, что обеспечивает системным администраторам преимущество в поисках решения проблемы, а потенциальным злоумышленникам – показывает все способы использования уязвимости на свой лад.
Стоит отметить, что POODLE имеет отношение к SSL версии 3.0, которая была заменена 15 лет назад. Тем не менее, эта версия протокола до сих пор поддерживается многими системами и может быть активирована при определенных обстоятельствах. В этой связи исследователи призывают системных администраторов отказаться от поддержки SSL 3.0, чтобы предотвратить возможность совершения POODLE-атаки.
«Если обе стороны поддерживают только SSL 3.0, то в таком случае надежды на предотвращение атаки нет» – говорится в отчете. – «Требуется серьезное обновление, чтобы исключить незащищенное соединение».
Больше подробностей об уязвимости можно найти в официальном блоге Google.
Источник: The Verge