Care este vulnerabilitatea POODLE și cum te poți proteja?
Este greu să ne înfășurăm mintea în jurul tuturor acestor catastrofe pe Internet așa cum au apărut și așa cum am crezut că Internetul era sigur din nou după ce Heartbleed și Shellshock au amenințat că "vor sfârși viața așa cum o știm", afară POODLE.
Nu vă îngrijiți prea mult, deoarece nu este atât de amenințător cât sună. Adevărul este că este o problemă de care trebuie să fiți preocupat, dar există pași simpli pe care îi puteți lua pentru a vă proteja.
Ce este POODLE?
Să începem la parter. Ce este POODLE? În primul rând, înseamnă "Împachetarea Oracle pe criptarea retrogradată a Legacy."Problema de securitate este exact ceea ce sugerează și numele, un downgrade de protocol care permite exploatările pe o formă de criptare învechită. Problema a venit în atenția lumii în această lună, când Google a lansat o lucrare numită "Acest Bug POODLE: Exploatarea SSL 3.0 Fallback".
Pentru a explica acest lucru într-un mod mai simplu, dacă un atacator care folosește un atac Man-In-The-Middle poate prelua controlul unui router la un hotspot public, acesta poate forța browserul să se transforme în SSL 3.0 (un protocol mai vechi) mult mai modern TLS (Security Layer Security), și apoi să exploateze o gaură de securitate în SSL pentru a vă abate de la sesiunile de browser. Deoarece această problemă se află în protocol, orice lucru care utilizează SSL este afectat.
Atâta timp cât serverul și clientul (browserul web) acceptă SSL 3.0, atacatorul poate forța o downgrade în protocol, deci chiar dacă browserul dvs. încearcă să utilizeze TLS, acesta devine forțat să utilizeze SSL în schimb. Singurul răspuns este pentru fiecare parte sau ambele părți pentru a elimina suportul pentru SSL, eliminând posibilitatea de a fi retrogradat.
Dacă răsfoiți în primul rând de acasă și nu utilizați hotspoturi publice, potențialul de deteriorare este destul de scăzut și puteți să luați pașii simpli descriși mai târziu în articol pentru a vă proteja. Dacă utilizați adesea un hotspot public, ar putea fi momentul să vă gândiți la utilizarea unei rețele VPN.
Cum putem rezolva problema?
Deoarece nu există nicio modalitate de a rezolva problemele cu SSL, singura soluție este pentru producătorii de browsere și serverele web să actualizeze totul pentru a elimina suportul pentru SSL și necesită numai criptare TLS.
Google și Firefox au anunțat deja că vor elimina suportul în viitor și, deși nu am auzit (încă) același lucru de la Microsoft, este extrem de ușor ca un utilizator final să dezactiveze SSL 3.0 în IE. Majoritatea companiilor web mari elimină suportul pentru SSL după ce această problemă a ieșit la lumină, însă va dura ceva timp ca toată lumea să facă acest lucru.
În calitate de consumator, puteți elimina suportul pentru SSL din browser utilizând una dintre metodele prezentate mai jos - sau dacă utilizați Firefox sau Google Chrome și nu utilizați hotspot-uri tot timpul, le puteți aștepta să actualizeze browserul. Sau puteți să vă asigurați că ați rezolvat problema singură.
Dezactivarea SSL 3.0 în Mozilla Firefox
Dacă sunteți utilizator Mozilla Firefox, preocupările dvs. SSL 3.0 vor fi așezate în pat pe 25 noiembrie 2014, când va fi lansat Fireox 34. Singura problemă cu aceasta este că nu este încă în noiembrie și trebuie să luați măsuri pentru a vă proteja acum. Începeți prin a deschide browserul Firefox și navigați la pagina de descărcare a controlului SSL în Firefox.
Când a fost instalat cu succes, puteți introduce "despre: addons" în bara de navigare și selectați extensia "Control versiune SSL". Puteți să dați clic pe "Opțiuni" pentru a vedea setările pentru extensie. Asigurați-vă că "Actualizările automate" sunt active și că "Versiunea SSL minimă" este setată la "TLS 1.0"
După ce Firefox 34 a fost lansat, puteți să vă dezactivați extensia sau să o dezinstalați.
Dezactivarea SSL 3.0 în Google Chrome
Dacă sunteți utilizator Google Chrome, puteți fi siguri că SSL 3.0 va fi dezactivat în următoarele luni, deși nu au stabilit încă o dată. Dacă doriți să vă protejați acum, se poate face în câțiva pași simpli. Pur și simplu accesați pictograma desktop Google Chrome și faceți clic dreapta pe el, apoi selectați "Properties" (Proprietăți) din partea de jos a meniului pop-up.
În fereastra "Proprietăți", veți vedea o casetă de introducere a textului care afișează "Destinație". Pur și simplu faceți clic în această casetă și apăsați butonul "Sfârșit" de pe tastatură. Apoi, apăsați pe "Bara de spațiu" și copiați și inserați acest text pe capăt.
--ssl-versiune min = tls1
Apăsați "Apply", apoi faceți clic pe "Continue" din fereastra pop-up, apoi apăsați "OK".
Acum, browserul dvs. va respinge automat certificatele SSL 3.0 și va accepta TLS 1.0 și versiuni ulterioare. Merită menționat că dacă lansați Chrome prin orice altă comandă rapidă de pe computer, acesta nu va utiliza acest steag.
Dezactivarea SSL 3.0 în Internet Explorer
Microsoft nu a anunțat încă când intenționează să abordeze problema SSL 3.0, deci este mai bine să o dezactivați prin deschiderea meniului "Start" și tastând "Opțiuni Internet".
Accesați fila "Avansat" și derulați în jos până la secțiunea "Securitate" până când vedeți opțiunile SSL și TLS, apoi verificați opțiunea Utilizare SSL 3.0 și activați TLS.
În acest fel, puteți fi sigur că browserele dvs. de Internet sunt protejate împotriva oricăror atacuri potențiale POODLE.
Credit de imagine: Karen pe Flickr