2Sep
Είναι δύσκολο να κλείσουμε το μυαλό μας γύρω από όλες αυτές τις καταστροφές στο Internet καθώς συμβαίνουν και όπως πίστευα ότι το Διαδίκτυο ήταν ασφαλές και πάλι μετά την Heartbleed και τη Shellshock απειλούσαν να «τερματίσουν τη ζωή όπως την ξέρουμε», έρχεται το POODLE.
Μην πάρετε πάρα πολύ επεξεργασμένο, επειδή δεν είναι τόσο απειλητικό όσο ακούγεται.Η αλήθεια είναι ότι είναι ένα θέμα που πρέπει να ασχοληθείτε με, αλλά υπάρχουν απλά βήματα που μπορείτε να κάνετε για να προστατευθείτε.
Τι είναι το POODLE;
Ας ξεκινήσουμε στο ισόγειο.Τι είναι το POODLE;Πρώτα απ 'όλα, σημαίνει " Padding Oracle στην υποβαθμισμένη κρυπτογράφηση Legacy ". Το ζήτημα ασφαλείας είναι ακριβώς αυτό που υποδηλώνει το όνομα, μια υποβάθμιση πρωτοκόλλου που επιτρέπει την εκμετάλλευση σε ξεπερασμένη μορφή κρυπτογράφησης.Το θέμα ήρθε στην προσοχή του κόσμου αυτό το μήνα, όταν η Google κυκλοφόρησε ένα χαρτί με τίτλο "Αυτό το POODLE Bites: Αξιοποίηση του SSL 3.0 Fallback".
Για να το εξηγήσετε αυτό με απλούστερους όρους, εάν ένας εισβολέας που χρησιμοποιεί μια επίθεση Man-In-The-Middle μπορεί να πάρει τον έλεγχο ενός δρομολογητή σε ένα δημόσιο hotspot, μπορεί να αναγκάσει τον περιηγητή σας να υποβαθμίσει σε SSL 3.0 αντί για χρήσητο πολύ πιο σύγχρονο TLS( Security Layer Security) και, στη συνέχεια, εκμεταλλευτείτε μια τρύπα ασφαλείας στο SSL για να ξεφύγετε από τις περιόδους λειτουργίας του προγράμματος περιήγησης.Επειδή αυτό το πρόβλημα βρίσκεται στο πρωτόκολλο, επηρεάζεται οτιδήποτε χρησιμοποιεί SSL.
Εφόσον τόσο ο διακομιστής όσο και ο πελάτης( πρόγραμμα περιήγησης ιστού) υποστηρίζουν SSL 3.0, ο επιτιθέμενος μπορεί να αναγκάσει την υποβάθμιση του πρωτοκόλλου, οπότε ακόμα και αν το πρόγραμμα περιήγησης προσπαθεί να χρησιμοποιήσει το TLS, καταλήγει να αναγκάζεται να χρησιμοποιήσει SSL.Η μόνη απάντηση είναι για τις δύο πλευρές ή για τις δύο πλευρές να αφαιρέσουν την υποστήριξη για SSL, καταργώντας την πιθανότητα υποβάθμισης.
Αν ψάχνετε κυρίως από το σπίτι και δεν χρησιμοποιείτε δημόσια hotspots, η πιθανότητα για ζημιές είναι αρκετά χαμηλή και μπορείτε απλά να πάρετε τα εύκολα βήματα που περιγράφονται παρακάτω στο άρθρο για να προστατεύσετε τον εαυτό σας.Εάν χρησιμοποιείτε συχνά ένα δημόσιο hotspot, ίσως είναι καιρός να σκεφτείτε για τη χρήση ενός VPN.
Πώς μπορούμε να λύσουμε το πρόβλημα;
Δεδομένου ότι δεν υπάρχει τρόπος να επιλυθούν τα προβλήματα με το SSL, η μόνη λύση είναι για τους κατασκευαστές περιηγητών και τους διακομιστές ιστού να αναβαθμίσουν τα πάντα για να αφαιρέσουν την υποστήριξη για SSL και απαιτούν μόνο κρυπτογράφηση TLS.
Η Google και ο Firefox έχουν ήδη ανακοινώσει ότι θα καταργήσουν την υποστήριξη στο μέλλον και ενώ δεν έχουμε ακόμη ακούσει τα ίδια από τη Microsoft, είναι εξαιρετικά εύκολη η απενεργοποίηση του SSL 3.0 στον τελικό χρήστη από τον τελικό χρήστη.Οι περισσότερες από τις μεγάλες εταιρίες ιστού καταργούν την υποστήριξη για το SSL μετά την εμφάνιση του προβλήματος, αλλά θα χρειαστεί λίγος χρόνος για να το κάνουν όλοι.
Ως καταναλωτής, μπορείτε να καταργήσετε την υποστήριξη για SSL από το πρόγραμμα περιήγησής σας χρησιμοποιώντας μία από τις μεθόδους που περιγράφονται παρακάτω - ή εάν χρησιμοποιείτε τον Firefox ή το Google Chrome και δεν χρησιμοποιείτε συνεχώς τα hotspots, μπορείτε να περιμένετε να ενημερώσουν το πρόγραμμα περιήγησης.Ή μπορείτε να βεβαιωθείτε ότι έχετε επιδιορθώσει το πρόβλημα μόνοι σας.
Απενεργοποίηση του SSL 3.0 στο Mozilla Firefox
Εάν είστε χρήστης του Mozilla Firefox, οι ανησυχίες σας για το SSL 3.0 θα τεθούν στο κρεβάτι στις 25 Νοεμβρίου 2014, όταν κυκλοφορήσει το Fireox 34.Το μόνο πρόβλημα με αυτό είναι ότι δεν είναι ακόμα Νοέμβριος και πρέπει να αναλάβετε δράση για να προστατευθείτε τώρα.Ξεκινήστε ανοίγοντας το πρόγραμμα περιήγησης Firefox και πλοηγώντας στη σελίδα λήψης ελέγχου ελέγχου SSL στο Firefox.
Όταν έχει εγκατασταθεί με επιτυχία, μπορείτε να εισάγετε "about: addons" στη γραμμή πλοήγησης και να επιλέξετε την επέκταση "Έλεγχος έκδοσης SSL".Μπορείτε να κάνετε κλικ στο "Επιλογές" για να δείτε τις ρυθμίσεις για την επέκταση.Βεβαιωθείτε ότι οι "Αυτόματες ενημερώσεις" είναι ενεργοποιημένες και ότι η "Ελάχιστη έκδοση SSL" έχει οριστεί σε "TLS 1.0"
Μετά την απελευθέρωση του Firefox 34, μπορείτε να απενεργοποιήσετε την επέκταση ή να την απεγκαταστήσετε.
Απενεργοποίηση του SSL 3.0 στο Google Chrome
Εάν είστε χρήστης του Google Chrome, μπορείτε να είστε βέβαιοι ότι το SSL 3.0 θα απενεργοποιηθεί τους προσεχείς μήνες, αν και δεν έχει καθορίσει ακόμα ημερομηνία.Εάν θέλετε να προστατευθείτε τώρα, μπορείτε να το κάνετε με μερικά απλά βήματα.Απλά πηγαίνετε στο εικονίδιο του Google Chrome στην επιφάνεια εργασίας σας και κάντε δεξί κλικ πάνω του, στη συνέχεια επιλέξτε "Ιδιότητες" στο κάτω μέρος του αναδυόμενου μενού.
Στο παράθυρο "Ιδιότητες" θα δείτε ένα πλαίσιο εισαγωγής κειμένου που λέει "Target". Απλά κάντε κλικ σε αυτό το πλαίσιο και πατήστε το κουμπί "End" στο πληκτρολόγιό σας.Στη συνέχεια, πατήστε το "Spacebar" και αντιγράψτε και επικολλήστε αυτό το κείμενο στο τέλος.
--ssl-version-min = tls1Πατήστε "Εφαρμογή" και στη συνέχεια κάντε κλικ στο κουμπί "Συνέχεια" στο αναδυόμενο παράθυρο και, στη συνέχεια, πατήστε "OK".
Τώρα το πρόγραμμα περιήγησης θα απορρίψει αυτόματα τα πιστοποιητικά SSL 3.0 και θα δεχτεί μόνο TLS 1.0 και νεότερη.Αξίζει να σημειωθεί ότι εάν ξεκινήσετε το Chrome μέσω οποιασδήποτε άλλης συντόμευσης στον υπολογιστή σας, δεν θα χρησιμοποιεί αυτή τη σημαία.
Απενεργοποίηση του SSL 3.0 στον Internet Explorer
Η Microsoft δεν έχει ακόμη ανακοινώσει πότε σκοπεύει να αντιμετωπίσει το θέμα SSL 3.0, επομένως είναι προτιμότερο να την απενεργοποιήσετε, ανοίγοντας το μενού "Έναρξη" και πληκτρολογώντας "Επιλογές Internet".Στην καρτέλα "Για προχωρημένους" και μετακινηθείτε προς τα κάτω στην ενότητα "Ασφάλεια" έως ότου δείτε τις επιλογές SSL και TLS και, στη συνέχεια, αποεπιλέξτε την επιλογή Χρήση SSL 3.0 και, στη συνέχεια, ενεργοποιήστε το TLS.
Με αυτόν τον τρόπο μπορείτε να είστε σίγουροι ότι τα προγράμματα περιήγησης στο διαδίκτυο είναι όλα ασφαλή από πιθανές επιθέσεις POODLE.Πιστοποίηση εικόνας
: Karen στο Flickr
