2Sep

Qual é a Vulnerabilidade de POODLE e como você pode se proteger?

É difícil envolver nossas mentes em torno de todas essas catástrofes da Internet à medida que elas ocorrem, e assim como achamos que a Internet estava segura novamente depois que a Heartbleed e a Shellshock ameaçaram "acabar com a vida como a conhecemos", vem o POODLE.

Não fique muito cansado porque não é tão ameaçador quanto parece. A verdade é que é uma questão a ser preocupada com, mas há passos simples que você pode tomar para se proteger.

O que é POODLE?

Vamos começar no piso térreo. O que é POODLE?Em primeiro lugar, significa " Padding Oracle On Downgraded Legacy Encryption ". O problema de segurança é exatamente o que o nome sugere, um downgrade de protocolo que permite exploits em uma forma de criptografia desatualizada. A questão veio à atenção do mundo neste mês, quando o Google lançou um artigo chamado "This POODLE Bites: Exploiting The SSL 3.0 Fallback".

Para explicar isso em termos mais simples, se um invasor que usa um ataque Man-In-The-Middle pode assumir o controle de um roteador em um ponto de acesso público, eles podem forçar seu navegador a baixar para SSL 3.0( um protocolo mais antigo) em vez de usaro TLS muito mais moderno( Transport Layer Security) e, em seguida, explorar um furo de segurança no SSL para seqüestrar as sessões do seu navegador. Uma vez que esse problema está no protocolo, qualquer coisa que usa SSL é afetada.

Enquanto o servidor e o cliente( navegador web) suportarem o SSL 3.0, o atacante pode forçar um downgrade no protocolo, por isso, mesmo que seu navegador tente usar o TLS, ele acaba sendo obrigado a usar o SSL em vez disso. A única resposta é para qualquer lado ou ambos os lados remover o suporte para SSL, eliminando a possibilidade de ser rebaixado.

Se você navega principalmente de casa e não usa hotspots públicos, o potencial de danos é bastante baixo, e você pode simplesmente seguir as etapas simples descritas mais tarde no artigo para se proteger. Se você costuma usar um ponto de acesso público, talvez seja hora de pensar em usar uma VPN.

Como podemos resolver o problema?

Uma vez que não há nenhuma maneira de resolver os problemas com o SSL, a única solução é para os criadores de navegador e servidores web atualizar tudo para remover o suporte para SSL e exigir apenas criptografia TLS.

O Google e o Firefox já anunciaram que estarão removendo o suporte no futuro, e enquanto ainda não ouvimos o mesmo da Microsoft, é extremamente fácil como usuário final desativar o SSL 3.0 no IE.A maioria das grandes empresas da Web está removendo o suporte para SSL depois que este problema surgiu, mas demorará um tempo para que todos possam fazê-lo.

Como consumidor, você pode remover o suporte para SSL do seu navegador usando um dos métodos descritos abaixo - ou se você estiver usando o Firefox ou o Google Chrome e não estiver usando hotspots o tempo todo, você pode esperar por eles atualizar o navegador. Ou você pode se certificar de que você corrigiu o problema sozinho.

Desativando o SSL 3.0 no Mozilla Firefox

Se você é um usuário do Mozilla Firefox, suas preocupações com SSL 3.0 serão colocadas na cama em 25 de novembro de 2014 quando o Fireox 34 for lançado. O único problema com isso é que ainda não é novembro e você precisa agir para se proteger agora. Comece abrindo seu navegador Firefox e navegando para a página de download do Controle de Versão do SSL no Firefox.

Quando foi instalado com sucesso, você pode inserir "about: addons" na barra de navegação e selecione a extensão "Controle de versão SSL".Você pode clicar em "Opções" para ver as configurações da extensão. Certifique-se de que as "Atualizações Automáticas" estão ativadas e que a "Versão Mínima de SSL" esteja definida como "TLS 1.0"

Depois que o Firefox 34 foi liberado, você pode se sentir livre para desativar a extensão ou desinstalá-la.

Desativando o SSL 3.0 no Google Chrome

Se você é um usuário do Google Chrome, você pode ter a certeza de que o SSL 3.0 será desativado nos próximos meses, embora ainda não estabeleçam uma data. Se você quer se proteger agora, pode ser feito em alguns passos simples. Basta acessar o ícone da área de trabalho do Google Chrome e clicar com o botão direito do mouse em seguida, selecionar "Propriedades" na parte inferior do menu pop-up.

Na janela "Propriedades", você verá uma caixa de entrada de texto que diz "Alvo". Basta clicar nesta caixa e pressionar o botão "Finalizar" no seu teclado. Em seguida, pressione a "Barra de espaço" e copie e cole este texto no final.

--ssl-version-min = tls1

Pressione "Aplicar" e clique em "Continuar" na janela pop-up e pressione "OK".

Agora, seu navegador rejeitará automaticamente os certificados SSL 3.0 e somente aceita TLS 1.0 e superior. Vale a pena notar que, se você iniciar o Chrome através de qualquer outro atalho no seu computador, não usará esta bandeira.

Desativando o SSL 3.0 no Internet Explorer

A Microsoft ainda não anunciou quando planeja resolver o problema do SSL 3.0, pelo que é melhor desabilitá-lo, abrindo seu menu "Iniciar" e digitando "Opções da Internet".

Vá para oGuia "Avançado" e role até a seção "Segurança" até ver as opções SSL e TLS e, em seguida, desmarque a opção para Usar SSL 3.0 e, em vez disso, habilite TLS.

Desta forma, você pode ter certeza de que seus navegadores da Internet estão todos protegidos de qualquer potencial POODLE ataques.

Crédito de Imagem: Karen on Flickr