2Sep
Trudno jest ominąć wszystkie te katastrofy internetowe, kiedy one się pojawiają, i tak jak myślałem, że Internet jest znowu bezpieczny po tym, jak Heartbleed i Shellshock zagrozili "końcowym życiem, jakie znamy", wychodzi POODLE.
Nie przejmuj się zbytnio, ponieważ nie jest tak groźny, jak się wydaje. Prawdą jest, że jest to kwestia, którą należy się zająć, ale są proste kroki, które można podjąć, aby zabezpieczyć się.
Co to jest POODLE?
Zacznijmy na parterze. Co to jest POODLE?Po pierwsze, oznacza to " Padding Oracle na starszym algorytmie szyfrowania ." Problem bezpieczeństwa jest dokładnie taki, jak sugeruje nazwa, obniżenie protokołu, które pozwala na exploity na przestarzałej formie szyfrowania. Problem ten pojawił się na świecie w tym miesiącu, gdy firma Google opublikowała artykuł zatytułowany "This POODLE Bites: Exploiting Fallback SSL 3.0".
Aby wyjaśnić to w prostszy sposób, jeśli atakujący wykorzystujący atak typu "człowiek w środku" może przejąć kontrolę nad routerem w publicznym punkcie dostępowym, może zmusić przeglądarkę do przejścia na wersję SSL 3.0( starszy protokół) zamiast używaćznacznie nowocześniejszy TLS( Transport Layer Security), a następnie wykorzystać lukę bezpieczeństwa w protokole SSL w celu przejęcia sesji przeglądarki. Ponieważ ten problem występuje w protokole, dotyczy to wszystkiego, co korzysta z protokołu SSL.
Dopóki zarówno serwer, jak i klient( przeglądarka internetowa) obsługują SSL 3.0, atakujący może wymusić obniżenie wersji protokołu, więc nawet jeśli twoja przeglądarka spróbuje użyć protokołu TLS, w końcu zostanie zmuszona do używania SSL.Jedyną odpowiedzią dla obu stron lub obu stron jest usunięcie obsługi protokołu SSL, co wyklucza możliwość obniżenia oceny.
Jeśli głównie przeglądasz z domu i nie korzystasz z publicznych hotspotów, prawdopodobieństwo uszkodzenia jest dość niskie i możesz po prostu wykonać proste czynności opisane w dalszej części artykułu, aby się zabezpieczyć.Jeśli często korzystasz z publicznego hotspotu, być może nadszedł czas, aby pomyśleć o korzystaniu z VPN.
Jak możemy rozwiązać problem?
Ponieważ nie ma sposobu na rozwiązanie problemów z SSL, jedynym rozwiązaniem dla twórców przeglądarek i serwerów WWW jest uaktualnienie wszystkiego, aby usunąć obsługę SSL i wymagać tylko szyfrowania TLS.
Google i Firefox już ogłosili, że będą usuwać pomoc techniczną w przyszłości i chociaż nie( jeszcze) nie słyszeliśmy tego samego od Microsoftu, niezwykle łatwo jest użytkownikowi końcowemu wyłączyć SSL 3.0 w IE.Większość dużych firm internetowych usuwa obsługę SSL po ujawnieniu tego problemu, ale każdemu to zajmie chwilę.
Jako konsument możesz usunąć obsługę SSL z przeglądarki za pomocą jednej z metod opisanych poniżej - lub jeśli używasz przeglądarki Firefox lub Google Chrome i nie korzystasz z hotspotów przez cały czas, możesz poczekać, aż zaktualizują przeglądarkę.Możesz też upewnić się, że samodzielnie rozwiązałeś problem.
Wyłączanie SSL 3.0 w Mozilla Firefox
Jeśli jesteś użytkownikiem Mozilla Firefox, twoje obawy dotyczące SSL 3.0 zostaną wprowadzone do łóżka 25 listopada 2014 roku, kiedy Fireox 34 zostanie wydany. Jedyny problem polega na tym, że nie jest to jeszcze listopad i musisz podjąć działania, aby chronić siebie teraz. Zacznij od otwarcia przeglądarki Firefox i przejścia do strony pobierania kontroli wersji SSL w Firefoksie.
Po pomyślnym zainstalowaniu możesz wpisać "about: addons" w pasku nawigacji i wybrać rozszerzenie "Kontrola wersji SSL".Możesz kliknąć "Opcje", aby zobaczyć ustawienia dla rozszerzenia. Upewnij się, że "Aktualizacje automatyczne" są włączone i że "Minimalna wersja SSL" jest ustawiona na "TLS 1.0"
Po wydaniu Firefoksa 34 możesz go wyłączyć, lub odinstalować.
Wyłączanie SSL 3.0 w przeglądarce Google Chrome
Jeśli jesteś użytkownikiem przeglądarki Google Chrome, możesz mieć pewność, że SSL 3.0 zostanie wyłączony w nadchodzących miesiącach, chociaż nie ustawił jeszcze daty. Jeśli chcesz się teraz chronić, możesz to zrobić w kilku prostych krokach. Po prostu przejdź do swojej ikony pulpitu Google Chrome i kliknij ją prawym przyciskiem myszy, a następnie wybierz "Właściwości" u dołu menu podręcznego.
W oknie "Właściwości" pojawi się pole wprowadzania tekstu z napisem "Cel". Wystarczy kliknąć to pole i nacisnąć przycisk "Zakończ" na klawiaturze. Następnie naciśnij "Spację" i skopiuj i wklej ten tekst na końcu.
--ssl-version-min = tls1Naciśnij "Zastosuj", następnie kliknij "Kontynuuj" w wyskakującym okienku, a następnie naciśnij "OK."
Teraz Twoja przeglądarka automatycznie odrzuci certyfikaty SSL 3.0 i zaakceptuje tylko TLS 1.0 i nowsze wersje. Warto zauważyć, że jeśli uruchomisz Chrome za pomocą dowolnego innego skrótu na komputerze, nie będzie on używać tej flagi.
Wyłączanie protokołu SSL 3.0 w programie Internet Explorer
Firma Microsoft nie ogłosiła jeszcze, kiedy planuje rozwiązać problem z SSL 3.0, więc najlepiej jest go wyłączyć samodzielnie, otwierając menu "Start" i wpisując "Opcje internetowe".
Przejdź do"Zaawansowane" i przewiń w dół do sekcji "Zabezpieczenia", aż zobaczysz opcje SSL i TLS, a następnie odznacz opcję Użyj SSL 3.0 i włącz TLS.
W ten sposób możesz być pewien, że twoje przeglądarki internetowe są bezpieczne od wszelkich potencjalnych ataków POODLE.
Image Credit: Karen on Flickr