在计算机安全领域,总有新的危险潜伏在角落里。 POODLE 攻击漏洞就是这样一种威胁,它一出现就引起了轩然大波。 它利用了我们在线保护敏感数据的弱点。
虽然 POODLE 攻击已经存在了一段时间,但它仍然是一个令人严重关切的问题。 它们提醒我们,在保护信息安全时,绝不能放松警惕。
那么,什么是 POODLE 攻击? 本文将为您提供答案,并告诉您如何保护自己不成为受害者。
目录
什么是贵宾犬攻击?
POODLE 攻击是一种针对 SSL(安全套接字层)3.0 及更旧版本弱点的网络攻击。 SSL 及其后续版本 TLS(传输层安全)等技术可确保您在浏览互联网或使用在线服务时的网络通信安全。
POODLE 是Padding Oracle On Downgraded Legacy Encryption 的缩写。 这意味着什么?
- 填充甲骨文:这是某些使用加密技术(对数据进行扰乱以确保其安全)的系统中存在的一个安全漏洞。 稍后再谈。
- 降级:指设备与网站或服务之间的加密连接安全性降低。 在某些情况下可能会出现这种情况,例如,如果您的网络浏览器或网站服务器无法就最安全的通信方式达成一致,因此它们会使用一种较旧的、不太安全的方法。
- 传统加密:这意味着加密数据的方法老旧过时。
因此,简单地说,POODLE 攻击是利用旧版 SSL 的漏洞,让黑客解密并窃取cookie、密码和支付详情等敏感信息。
黑客利用 “中间人 “技术实施 POODLE 攻击,将自己置于双方之间,操纵通信流。 这些攻击使用一种名为 “MAC-then-encrypt“的方法,我们将在下文中加以说明。
什么是先 MAC 后加密?
MAC-Then-Encrypt 是加密协议中使用的一种方法,即在加密前对明文信息应用信息验证码 (MAC)。 简单地说,就是先检查信息的完整性,然后进行加密传输。 在 POODLE 攻击中,这种技术会在加密前验证信息的完整性,使攻击者更容易操纵加密数据。
什么是填充甲骨文?
填充甲骨文攻击允许黑客在不知道加密密钥的情况下解密加密数据。 这一名称源于黑客利用填充的能力–为使信息达到一定大小而添加的额外数据。 它们之所以被称为 “甲骨文”,是因为它们可以根据操作预测服务器的响应。 这一漏洞可能会泄露用户数据和隐私。
POODLE 攻击的起源
由 Google 安全研究人员 Bodo Möller、Thai Duong 和 Krzysztof Kotowicz 发现的 POODLE 攻击在一篇概述其影响的论文发表后引起了广泛关注。
这一消息促使主要的网络浏览器和服务器迅速停止对易受攻击的 SSL 3.0 协议的支持,从而降低了被利用的风险。 尽管 SSL 3.0 已经过时,但 POODLE 攻击强调了过时系统的危险性。
2014 年 10 月,美国计算机应急准备小组(US-CERT)就一个影响互联网流量加密的漏洞发布了一份重要通知,敦促各组织采用最新的加密标准,如传输层安全(TLS)。
POODLE 攻击如何工作?
典型的 POODLE 攻击主要针对加密块链 (CBC) 模式,这是 SSL/TLS 协议版本中使用的一种常见的块加密模式。 下面是攻击的展开过程:
- 握手启动:客户端(浏览器)通过发送 “ClientHello “信息,说明其支持的 SSL 和 TLS 协议以及其他加密参数,启动与服务器的连接。
- 服务器响应:服务器回复一条 “ServerHello “信息,确认所选协议。
- 握手失败和回退:SSL/TLS 握手可能会因协议不匹配、参数无效、网络问题或恶意活动而失败。 攻击者可能会故意扰乱进程,迫使服务器降低协议版本。 服务器采用回退机制,尝试较低的协议版本,直到通过 SSL 3.0 成功建立连接。
- 填充字节:在加密明文数据之前,根据加密算法要求的数据块大小(尤其是在 CBC 等模式中),添加额外的比特或字节,以确保它能填充完整的块密码。
- Java 脚本代码(可选):在某些情况下,攻击者通常会通过社交工程和跨站脚本 (XSS) 将恶意 JavaScript 代码注入客户端浏览器,从而触发与目标网络服务器的多个 SSL 连接。 不过,执行 POODLE 攻击并不一定需要这一步骤。
- 利用漏洞:攻击者处于网络特权位置,操纵 SSL 协议参数,利用 CBC 模式的漏洞,巧妙地修改密码文本以解密前一个数据块。
- 解密前一个加密块:攻击者通过重复操作和观察密文变化,解密前一个加密块的内容,从而逐步解密整个加密块。
- 数据提取:每次成功解密后,攻击者都能获得客户端和服务器之间交换的明文数据,从而可能提取敏感信息,如会话 cookie、登录凭证或其他机密数据。
如何防范 SSL POODLE 攻击?
黄金法则是确保您的网络服务器只支持TLS .1.2 和最新的 TLS 1.3 版本。 这样,就无法实施 SSL3 POODLE 攻击了。扫描服务器是否存在潜在的 SSL/TLS 漏洞,如果存在,则禁用较旧的 SSL 版本,如 SSLv3。
在考虑使用网络浏览器时,建议用户使用最新更新的现代浏览器,这些浏览器不会受到 POODLE 攻击。 对于仍在使用 Internet Explorer 的用户,提示他们更新到新版本,或改用具有增强安全功能的其他浏览器。
最后,在网络服务器上安装先进的加密算法和密码套件,以加强安全措施,保护敏感信息免受潜在攻击。
底线
总之,容易受到 “狮子狗 “攻击的网络服务器是当今数字空间的一个紧迫问题。 针对过时 SSL 协议的漏洞利用表明,忽视这些漏洞会给用户和在线企业带来怎样的问题。
狮子狗攻击安全漏洞需要网络安全意识和积极主动的措施。 此外,这种威胁凸显了网络威胁的动态性,要求不断改进加密协议。
如果服务器使用最新版本的 TLS 协议进行安全连接,就不必担心 POODLE 漏洞。 不过,既然你已经知道了它是什么,那么在使用旧服务器和传统浏览器时,就应该牢记这一点。