Es ist schwer, uns mit all diesen Internet-Katastrophen zu beschäftigen, und genau wie wir dachten, das Internet sei wieder sicher, nachdem Heartbleed und Shellshock damit gedroht hatten, das Leben so zu beenden, wie wir es kennen, kommt POODLE heraus.
Lassen Sie sich nicht zu sehr aufregen, denn es ist nicht so bedrohlich, wie es sich anhört. Die Wahrheit ist, dass es ein Problem ist, mit dem man sich befassen muss, aber es gibt einfache Schritte, die Sie unternehmen können, um sich zu schützen.
Was ist POODLE?
Beginnen wir im Erdgeschoss. Was ist POODLE? Zunächst einmal steht es für “ Auffüllen von Oracle auf herabgestufte Legacy-Verschlüsselung . ” Das Sicherheitsproblem ist genau das, was der Name andeutet, ein Protokoll-Downgrade, das Exploits für eine veraltete Form der Verschlüsselung ermöglicht. Das Problem wurde in diesem Monat weltweit bekannt, als Google ein Papier mit dem Titel "This POODLE Bites: Exploiting The SSL 3.0 Fallback" veröffentlichte.
VERBUNDEN: So stellen Sie unter Windows eine Verbindung zu einem VPN her
Um dies einfacher zu erklären: Wenn ein Angreifer, der einen Man-In-The-Middle-Angriff verwendet, die Kontrolle über einen Router an einem öffentlichen Hotspot übernehmen kann, kann er Ihren Browser zwingen, ein Downgrade auf SSL 3.0 (ein älteres Protokoll) durchzuführen, anstatt das zu verwenden viel moderner TLS (Transport Layer Security), und nutzen Sie dann eine Sicherheitslücke in SSL, um Ihre Browsersitzungen zu entführen. Da dieses Problem im Protokoll enthalten ist, ist alles betroffen, was SSL verwendet.
Solange sowohl der Server als auch der Client (Webbrowser) SSL 3.0 unterstützen, kann der Angreifer ein Downgrade des Protokolls erzwingen. Selbst wenn Ihr Browser versucht, TLS zu verwenden, wird er gezwungen, stattdessen SSL zu verwenden. Die einzige Antwort besteht darin, dass eine Seite oder beide Seiten die Unterstützung für SSL entfernen und die Möglichkeit eines Downgrades ausschließen.
Wenn Sie hauptsächlich von zu Hause aus surfen und keine öffentlichen Hotspots verwenden, ist das Schadenspotenzial recht gering, und Sie können einfach die einfachen Schritte ausführen, die später in diesem Artikel beschrieben werden, um sich zu schützen. Wenn Sie häufig einen öffentlichen Hotspot verwenden, ist es möglicherweise an der Zeit, dies zu tun Denken Sie an die Verwendung eines VPN .
Wie können wir das Problem lösen?
Da es keine Möglichkeit gibt, die Probleme mit SSL zu lösen, besteht die einzige Lösung darin, dass Browserhersteller und Webserver alles aktualisieren, um die Unterstützung für SSL zu entfernen und nur TLS-Verschlüsselung zu benötigen.
Google und Firefox haben bereits angekündigt, dass sie in Zukunft den Support entfernen werden. Obwohl wir (noch) nicht dasselbe von Microsoft gehört haben, ist es für Endbenutzer äußerst einfach, SSL 3.0 im IE zu deaktivieren. Die meisten großen Web-Unternehmen entfernen die Unterstützung für SSL, nachdem dieses Problem aufgetreten ist, aber es wird eine Weile dauern, bis alle dies tun.
Als Verbraucher können Sie die Unterstützung für SSL mit einer der unten beschriebenen Methoden von Ihrem Browser entfernen. Wenn Sie Firefox oder Google Chrome verwenden und nicht ständig Hotspots verwenden, können Sie warten, bis sie den Browser aktualisieren. Oder Sie können sicherstellen, dass Sie das Problem selbst behoben haben.
Deaktivieren von SSL 3.0 in Mozilla Firefox
Wenn Sie ein Mozilla Firefox-Benutzer sind, werden Ihre SSL 3.0-Bedenken am 25. November 2014 ausgeräumt, wenn Fireox 34 veröffentlicht wird. Das einzige Problem dabei ist, dass es noch nicht November ist und Sie Maßnahmen ergreifen müssen, um sich jetzt zu schützen. Öffnen Sie zunächst Ihren Firefox-Browser und navigieren Sie zu SSL-Versionskontrolle Download-Seite in Firefox.
Nach erfolgreicher Installation können Sie in die Navigationsleiste "about: addons" eingeben und die Erweiterung "SSL Version Control" auswählen. Sie können auf "Optionen" klicken, um die Einstellungen für die Erweiterung anzuzeigen. Stellen Sie sicher, dass die "Automatischen Updates" aktiviert sind und dass die "Mindest-SSL-Version" auf "TLS 1.0" eingestellt ist.
Nach der Veröffentlichung von Firefox 34 können Sie die Erweiterung deaktivieren oder deinstallieren.
Deaktivieren von SSL 3.0 in Google Chrome
Wenn Sie ein Google Chrome-Nutzer sind, können Sie sicher sein, dass SSL 3.0 in den kommenden Monaten deaktiviert wird, obwohl noch kein Datum festgelegt wurde. Wenn Sie sich jetzt schützen möchten, können Sie dies in wenigen einfachen Schritten tun. Gehen Sie einfach zu Ihrem Google Chrome-Desktopsymbol und klicken Sie mit der rechten Maustaste darauf. Wählen Sie dann unten im Popup-Menü "Eigenschaften" aus.
Im Fenster "Eigenschaften" sehen Sie ein Texteingabefeld mit der Aufschrift "Ziel". Klicken Sie einfach in dieses Feld und drücken Sie die Taste "Ende" auf Ihrer Tastatur. Drücken Sie anschließend die Leertaste und kopieren Sie diesen Text und fügen Sie ihn am Ende ein.
--ssl-version-min = tls1
Drücken Sie auf "Übernehmen" und dann im Popup-Fenster auf "Weiter". Drücken Sie dann auf "OK".
Jetzt lehnt Ihr Browser SSL 3.0-Zertifikate automatisch ab und akzeptiert nur TLS 1.0 und höher. Wenn Sie Chrome über eine andere Verknüpfung auf Ihrem Computer starten, wird dieses Flag nicht verwendet.
Deaktivieren von SSL 3.0 in Internet Explorer
Microsoft hat noch nicht angekündigt, wann das SSL 3.0-Problem behoben werden soll. Deaktivieren Sie es daher am besten selbst, indem Sie das Startmenü öffnen und "Internetoptionen" eingeben.
Gehen Sie zur Registerkarte "Erweitert" und scrollen Sie zum Abschnitt "Sicherheit", bis Sie die SSL- und TLS-Optionen sehen. Deaktivieren Sie dann die Option für SSL 3.0 verwenden und aktivieren Sie stattdessen TLS.
Auf diese Weise können Sie sicher sein, dass Ihre Internetbrowser vor potenziellen POODLE-Angriffen geschützt sind.
Bildnachweis: Karen auf Flickr
