2Sep
Teško je zamotati naše misli oko svih tih internetskih katastrofa kako se događaju, i kao što smo mislili da je internet opet siguran nakon što je Heartbleed i Shellshock zaprijetili da će "završiti život kao što znamo", izlazi POODLE.
Nemojte se previše razrađivati jer nije tako prijeteće kao što zvuči. Istina je da je to zabrinjavajuće pitanje, ali postoje jednostavni koraci koje možete poduzeti kako biste zaštitili sebe.
Što je točka? Počnimo u prizemlju.Što je to? Prije svega, to znači " Padding Oracle na smanjenom naslijeđenom šifriranju ". Sigurnosni problem je upravo ono što ime sugerira, protokol koji pretpostavlja iskorištavanje zastarjelog oblika šifriranja. Problem je došao do svjetske pozornosti ovog mjeseca kada je Google objavio rad pod nazivom "Ovaj POODLE Bites: iskorištavanje SSL 3.0 Fallback".
Da bi to objasnilo jednostavnije, ako napadač koji koristi napad na čovjeka u sredini može preuzeti kontrolu nad usmjerivačem na javnoj hotspotu, oni mogu natjerati vaš preglednik da se ponovo vraća na SSL 3.0( stariji protokol) umjesto da koristimnogo više modernih TLS( Transport Layer Security), a zatim iskoristiti sigurnosnu rupu u SSL-u kako biste oteli sesije preglednika. Budući da je taj problem u protokolu, to utječe na sve što koristi SSL.
Dok god poslužitelj i klijent( web preglednik) podržavaju SSL 3.0, napadač može prisiliti povratak u protokol, pa čak i ako vaš preglednik pokuša koristiti TLS, umjesto toga, mora biti prisiljen koristiti SSL.Jedini odgovor je da obje strane ili obje strane uklone podršku za SSL, uklanjajući mogućnost smanjenja.
Ako prvenstveno pretražujete od kuće i ne koristite javne vruće točke, potencijal za štetu je prilično nizak, a možete jednostavno poduzeti jednostavne korake navedene kasnije u članku kako biste zaštitili sebe. Ako često koristite javnu žarišnu točku, možda je vrijeme da razmislite o korištenju VPN-a.
Kako riješiti problem?
Budući da ne postoji način za rješavanje problema sa SSL-om, jedino je rješenje za izrađivače preglednika i web poslužitelje da sve nadogradite kako bi uklonili podršku za SSL i zahtijevaju samo TLS enkripciju.
Google i Firefox već su priopćili da će ukloniti podršku u budućnosti, a dok još nismo( još) čuli iste od Microsofta, vrlo je lako kao krajnji korisnik onemogućiti SSL 3.0 u IE.Većina velikih web tvrtki uklanja podršku za SSL nakon što je taj problem došao na vidjelo, ali to će potrajati neko vrijeme za sve to.
Kao potrošač, možete ukloniti podršku za SSL iz svog preglednika pomoću jedne od metoda navedenih u nastavku - ili ako koristite Firefox ili Google Chrome i ne upotrebljavate vruće točke cijelo vrijeme, možete pričekati da ažurirate preglednik, Ili možete biti sigurni da ste sami riješili problem.
Onemogućivanje SSL 3.0 u Mozilla Firefoxu
Ako ste korisnik Mozilla Firefoxa, vaši SSL 3.0 zabrinutost bit će stavljena u krevet 25. studenog 2014. kada je Fireox 34 pušten. Jedan problem s tim je da još nije studeni i trebate poduzeti korake kako biste se sada zaštitili. Započnite tako da otvorite Firefox preglednik i krenete na stranicu za preuzimanje SSL verzije za preuzimanje u Firefoxu.
Kada je uspješno instaliran, možete unijeti "about: addons" u navigacijsku traku i odabrati "SSL Version Control" proširenje. Možete kliknuti na "Opcije" da biste vidjeli postavke za proširenje. Provjerite jesu li "Automatsko ažuriranje" uključene i da je "Minimalna SSL verzija" postavljena na "TLS 1.0"
Nakon što je izdana Firefox 34, slobodno možete onemogućiti proširenje ili ga deinstalirati.
Onemogućavanje SSL 3.0 u pregledniku Google Chrome
Ako ste korisnik Google Chromea, možete biti sigurni da će SSL 3.0 biti deaktiviran u narednim mjesecima, iako još nisu postavili datum. Ako se sada želite zaštititi, to se može učiniti u nekoliko jednostavnih koraka. Jednostavno prijeđite na ikonu radne površine Google Chromea i desnom tipkom miša kliknite na njega, a zatim na popisu s izbornika odaberite "Svojstva".
U prozoru "Svojstva" vidjet ćete okvir za unos teksta koji kaže "Target". Jednostavno kliknite na taj okvir i pritisnite tipku "End" na tipkovnici. Zatim pritisnite "razmaknicu" i kopirajte i zalijepite taj tekst na kraj. Pritisnite "Apply" i kliknite "Continue" u skočnom prozoru, a zatim pritisnite "OK".
Sada vaš preglednik automatski će odbiti SSL 3.0 certifikate i prihvatiti samo TLS 1.0 i više. Valja napomenuti da ako pokrenete Chrome kroz bilo koji drugi prečac na računalu, nećete upotrebljavati ovu zastavicu.
Onemogućivanje SSL 3.0 u programu Internet Explorer
Microsoft još nije najavio kada namjeravaju riješiti problem s SSL 3.0 pa je najbolje onesposobiti sami tako da otvorite izbornik "Start" i upišete "Internet Options".
Idite naNa kartici "Napredno" i pomaknite se do odjeljka "Sigurnost" dok ne vidite opcije SSL i TLS, a zatim isključite opciju za upotrebu SSL 3.0 i omogućite TLS umjesto toga.
Na ovaj način možete biti sigurni da su vaš internetski preglednici sigurni od mogućih potencijalnih napada MALA.
Image Credit: Karen na Flickr