TZCERT-2014-12: w: TAHADHARI YA SHAMBULIO
SSL 3.0 Uwezekano wa Shambulio la itifaki na POODLE
Tarehe ya Kutolewa mara ya Kwanza: 11.12.2014
Tarehe ya Mwisho Kutolewa: 11.12.2014
Chanzo: US-CERT, Symantec , IETF
Mfumo Ulioathirika:
Mifumo na program tumizi zote zinazotumia Secure Socket Layer (SSL) 3.0 yenye nui (hali ya utendaji wa program), mfuatano wa maandishi ya fumbo unaweza kuathirika. Hata hivyo shambulio la POODLE (Padding Oracle On Downgraded Legacy Encription) inaonesha uwezekano huu kwa kutumia vivinjari na seva za mtandao, kitu ambacho ni moja ya hali zinazoweza kutumiwa.
Hali Ilivyo
Msimbo wa Itifaki ya Safu ya Soketi Salama (SSL) 3.0 una uwezekano wa kushambuliwa, hitilafu imegundulika ambayo inaweza kutumiwa na mshambuliaji kuingilia data iliyosimbuliwa kati ya kompyuta na seva.
Maelezo
SSL 3.0 hivi sasa inatumika kwenye vivinjari vingi vya mtandao, wateja wengi wa TLS wameshusha hadhi ya itifaki ya usimbuzi kwenda SSL 3.0 wanapofanya kazi na seva za zamani. Shambulio la POODLE linatumia mwanya wa upitaji kwa urahisi uliojengwa ndani ya SSL/TLS kulazimisha matumizi ya SSL 3.0 na kutumia unafuu wa udhaifu huo kuondoa uandishi wa fumbo wa maudhui yaliyobainishwa katika utaratibu wa SSL. Uharibifu wa msimbo hufanyika baiti kwa baiti na huzaa idadi kubwa ya maunganisho kati ya mteja na seva.
Mazingira kama ya Wi-Fi ya umma, Hotspots, hufanya shambulio hili kuwa tatizo kubwa na shambulio la aina hii huangukia kwenye kundi la Mtu-wa-Kati (MITM).
Athari
Kwa kutumia udhaifu huu katika mazingira ya kimtandao, mshambuliaji anaweza kufikia data nyeti iliyopitishwa wakati wa hatua za mtandao zilizofumbwa , kama vile nywila, vikumbushi vya tovuti zilizotembelewa, na ishara nyingine za uhalisia zinazoweza kutumiwa kuingia kwa ukamilifu mtandaoni (kuwa kama mtumiaji mwenyewe, kufikia yaliyomo kwenye hazina data n.k.)
Ufumbuzi
Kwa sasa hakuna ufumbuzi wa kuzuia ukosefu wa kinga wa SSL 3.0 yenyewe kwa kuwa suala lenyewe ni la msingi kwa itifaki, hata hivyo kulemaza msaada wa SSL 3.0 kwenye utengenezaji upya mifumo na mifumo tumizi ndio ufumbuzi uliopo kwa sasa.
Baadhi ya watafiti wale wale waliogundua udhaifu huo pia walitafuta ufumbuzi kwa mojawapo ya masharti; TLS FALLBACK SCSV ni upanuzi wa itifaki inayozuia washambulizi wa MITM kuweza kulazimisha kuishusha hadhi itifakai. SSL ya wazi imeongeza usaidizi kwa TLS FALLBACK SCSV kwa matoleo ya karibuni na kupendekeza upandishaji daraja ufuatao:
• Watumiaji wa wazi wa OpenSSL 1.0.1 wapande kwenda 1.0.1j.
• Watumiaji wa wazi wa OpenSSL 1.0.0 wapande kwenda 1.0.0o.
• Watumiaji wa wazi wa OpenSSL 0.9.8 wapande kwenda 0.9.8zc.
Wateja na seva wanahitaji kusaidia TLS FALLBACK SCSV kuzuia mashambulio ya kushuka hadhi
Rejea
http://www.symantec.com/connect/blogs/ssl-30-vulnerability-poodle-bug-aka-poodlebleed
https://www.us-cert.gov/ncas/alerts/TA14-290A
https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00