Como evito a nova vulnerabilidade SSL?

Resposta curta: Você pode 1) esperar, 2) evitar conexões com servidores importantes em pontos de acesso público.

Primeiro de tudo, não fique muito assustado. Permaneça calmo e ouça os episódios de seguimento que certamente tratarão de corrigir ou contornar o problema.

Tanto quanto eu entendo, o que o ataque descrito torna possível é criar uma única solicitação segura de TLS (também conhecida como SSL) que pode ser feita como se fosse autenticada. O man-in-the-middle nunca conseguirá ler nada da conexão, ele só pode inserir um pedido malicioso no início de um fluxo seguro. O atacante não pode nem ler a resposta, então ele tem que confiar em fazer uma solicitação de ação maliciosa.

Mas você está certo, essa situação exige a atualização de todos os servidores da Web seguros. Não pode ser evitado no lado do cliente, , por isso não adianta atualizar seu sistema. O que os clientes poderiam fazer é perguntar se o servidor sabe como evitar isso, e simplesmente descartar a conexão se o servidor não souber nada sobre isso. Mas ... "você sabe, se disséssemos aos nossos navegadores para não permitir TLS sem proteção de renegociação, não poderíamos falar com ninguém hoje." Então essa proteção acaba sendo a mesma que simplesmente evitar TLS .

Mas antes que haja uma correção ... bem, permanece o fato de que qualquer conexão TLS aberta em um ponto de acesso público poderia ser precedida silenciosamente por uma solicitação maliciosa unidirecional. É claro que você não gostaria de ter que dizer "transfira X dinheiro para essa conta Y". :) Mas, novamente, transações bancárias como essa exigem vários carregamentos de página e comunicação de credenciais, então não vejo nenhum risco nisso.

E há ameaças piores e mais prováveis por aí também. Este é apenas particularmente interessante, já que parece não haver como evitá-lo atualmente. As pessoas de segurança se interessam por coisas assim. A realidade parece ser que as pessoas podem ser enganadas muito mais a sério e com mais facilidade (uma simples é man-in-the-middle transformando todos os HTTPS em HTTP inseguro, e a maioria das pessoas não notará isso), então eu não veja porque alguém se incomodaria com esse ataque. Mas sim, para estar no lado seguro, aconselho não abrir conexões a serviços importantes em pontos de acesso público.

Aqui está uma ótima resposta de Bruce Schneier , da qual cito:

Should you not use SSL until it's fixed, and only pay for internet purchases over the phone? Should you download some kind of protection? Should you take some other remedial action? What?

If you read the IT press regularly, you'll see this sort of question again and again. The answer for this particular vulnerability, as for pretty much any other vulnerability you read about, is the same: do nothing. That's right, nothing. Don't panic. Don't change your behavior. Ignore the problem, and let the vendors figure it out.

As razões para isso são explicadas na postagem do blog.

Não ouça as pessoas que tentam assustá-lo! Isso certamente não vale a pena mudar o sistema operacional.

Use sua internet normalmente com seu provedor de DNS normal e não se preocupe tanto. O homem nos ataques do meio exige ... um homem no meio e em uma rede padrão, isso simplesmente não acontece.

Se você usa o Wireless, verifique se está usando o WPA2 e gire suas chaves com frequência, e se estiver usando o wired, não me preocupo.

Não use pontos de acesso público, pois é nesse ponto que você provavelmente encontrará alguém que use esse tipo de ataque.

Certifique-se de usar um bom provedor de DNS, como OpenDNS .

No final do dia, seu ISP pode ter uma rota personalizada para alguns IPs e estar forjando TODAS as solicitações de DNS, eles podem bloquear / registrar / redirecionar qualquer coisa ... Qualquer coisa pode acontecer na vida ... Às vezes, você só tem que continuar com a vida e equilibrar os profissionais com os contras!