网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


SSL v3遭遇“贵宾犬”攻击 360发布防御方案

2014-10-16 00:04 推荐: 浏览: 70 views 字号:

摘要: 2014年10月15日,Google刚刚发布的一份漏洞分析报告指出,在互联网上广泛使用的SSLv3存在设计缺陷,可能被黑客利用窃取基于SSL3.0版加密通信的内容,这种攻击方式被称为“贵宾犬攻击”。 据360安全卫士官方微博介绍,SSLv3是传输层安全协议TL...

2014年10月15日,Google刚刚发布的一份漏洞分析报告指出,在互联网上广泛使用的SSLv3存在设计缺陷,可能被黑客利用窃取基于SSL3.0版加密通信的内容,这种攻击方式被称为“贵宾犬攻击”。

据360安全卫士官方微博介绍,SSLv3是传输层安全协议TLS,已投入使用超过15年,目前绝大多数浏览器都支持该版本。由于SSLv3存在漏洞,在黑客控制网络通讯的情况下,SSLv3加密通信的数据就变得透明。例如接入一个公共WiFi使用网银,包括账号密码等加密传输的网络通信数据都可能被黑客窃取。

2935311

图:主流浏览器均支持SSLv3协议

SSLv3“贵宾犬攻击”的一个重要手段是基于ARP欺骗的中间人攻击,触发条件是通信两端均使用SSLv3进行安全传输。对此360安全卫士官方微博建议网友:电脑应开启360安全卫士ARP防火墙,可以防止黑客利用中间人攻击劫持SSLv3加密通信数据;此外,在漏洞得到修复前,浏览器“设置”中最好暂时关闭对SSL3.0协议的支持。

由于SSLv3加密通信存在安全缺陷,专家建议网民不要连接使用陌生人的WiFi,更不要在非可信网络中使用网银等重要服务。

浏览器禁用SSLv3的设置方法

一、IE/360安全浏览器设置方法:

1)点击浏览器右上角的“工具”选项,选择“Internet选项”

2)选择“高级”

3)找到“使用SSL3.0”的设置,将方框里的“勾”去掉

4)点击“确定”保存

2935313

二、360极速浏览器设置方法:

1)点击浏览器右上角工具栏的“小扳手”(自定义和控制360极速浏览器),选择“选项”

2)点击“高级设置”,找到“网络”模块,点击“更改代理服务器设置”

3)找到“使用SSL3.0”的设置,将方框里的“勾”去掉

4)点击“确定”保存

三、Chrome浏览器

Windows系统用户设置方法:

1)完全关闭 Chrome 浏览器

2)复制一个平时打开 Chrome 浏览器的快捷方式

3)在新的快捷方式上右键点击,进入属性

4)在「目标」后面的空格中字段的末尾输入以下命令 --ssl-version-min=tls1

Mac OS X系统用户设置方法:

1)完全关闭 Chrome 浏览器

2)找到本机自带的终端(Terminal)

3)输入以下命令:/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --ssl-version-min=tls1

Linux系统用户设置方法:

1)完全关闭 Chrome 浏览器

2)在终端中输入以下命令:google-chrome—ssl-version-min=tls1

四、Firefox 浏览器用户可以进入“关于:设置”,方法是在地址栏输入 about:config,然后将 security.tls.version.min 调至 1。

附:SSLv3“贵宾犬攻击”简要分析

Google公司披露了一个存在于SSL 3.0版本当中的安全隐患(漏洞编号:CVE-2014-3566),利用漏洞,黑客可以从SSL 3.0覆盖的安全连接下提取到一定字节长度的隐私信息。

当用户的浏览器使用更新版本的安全协议与服务器进行连接,如果遇到bug导致连接失败,会转而尝试更老版本的安全协议进行连接,「更老版本」就包括有 SSL 3.0。这也意味着,黑客完全有能力在攻击一个服务器/单一用户的时候故意制造连接失败的情况,触发浏览器的机制使用SSL 3.0,并且从中获取用户/服务器端的关键信息。

联系站长租广告位!

中国首席信息安全官
关闭
关闭