Είναι δύσκολο να τυλίξουμε το μυαλό μας γύρω από όλες αυτές τις καταστροφές του Διαδικτύου καθώς συμβαίνουν και ακριβώς όπως πιστεύαμε ότι το Διαδίκτυο ήταν ασφαλές και πάλι αφού ο Heartbleed και ο Shellshock απείλησαν να «τερματίσουν τη ζωή όπως το ξέρουμε», βγαίνει το POODLE.
Μην ασκηθείτε πολύ γιατί δεν είναι τόσο απειλητικό όσο ακούγεται. Η αλήθεια είναι ότι πρόκειται για ένα ζήτημα που πρέπει να ανησυχείτε, αλλά υπάρχουν απλά μέτρα που μπορείτε να κάνετε για να προστατευτείτε.
Τι είναι το POODLE;
Ας ξεκινήσουμε στο ισόγειο. Τι είναι το POODLE; Πρώτα απ 'όλα, σημαίνει « Padding Oracle On Downgraded Legacy Encryption " Το ζήτημα ασφαλείας είναι ακριβώς αυτό που προτείνει το όνομα, μια υποβάθμιση πρωτοκόλλου που επιτρέπει εκμεταλλεύσεις σε μια παλιά μορφή κρυπτογράφησης. Το ζήτημα ήρθε στην προσοχή του κόσμου αυτόν τον μήνα, όταν η Google κυκλοφόρησε ένα έγγραφο με τίτλο "This POODLE Bites: Exploiting The SSL 3.0 Fallback".
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Πώς να συνδεθείτε σε ένα VPN στα Windows
Για να το εξηγήσουμε με πιο απλούς όρους, εάν ένας εισβολέας που χρησιμοποιεί μια επίθεση Man-In-The-Middle μπορεί να πάρει τον έλεγχο ενός δρομολογητή σε ένα δημόσιο hotspot, μπορεί να αναγκάσει το πρόγραμμα περιήγησής σας να κάνει υποβάθμιση σε SSL 3.0 (παλαιότερο πρωτόκολλο) αντί να χρησιμοποιήσει το πολύ πιο σύγχρονο TLS (Transport Layer Security) και, στη συνέχεια, εκμεταλλευτείτε μια τρύπα ασφαλείας στο SSL για να εισβάλλετε στις περιόδους σύνδεσης του προγράμματος περιήγησής σας. Δεδομένου ότι αυτό το πρόβλημα βρίσκεται στο πρωτόκολλο, επηρεάζεται οτιδήποτε χρησιμοποιεί SSL.
Εφόσον τόσο ο διακομιστής όσο και ο πελάτης (πρόγραμμα περιήγησης ιστού) υποστηρίζουν SSL 3.0, ο εισβολέας μπορεί να επιβάλει μια υποβάθμιση στο πρωτόκολλο, οπότε ακόμη και αν το πρόγραμμα περιήγησής σας προσπαθεί να χρησιμοποιήσει το TLS, καταλήγει να αναγκαστεί να χρησιμοποιήσει το SSL αντ 'αυτού. Η μόνη απάντηση είναι να αφαιρεθεί η υποστήριξη για SSL και από τις δύο πλευρές, αφαιρώντας την πιθανότητα υποβάθμισης.
Εάν πραγματοποιείτε κυρίως περιήγηση από το σπίτι και δεν χρησιμοποιείτε δημόσια σημεία πρόσβασης, η πιθανότητα ζημιάς είναι πολύ χαμηλή και μπορείτε απλώς να κάνετε τα εύκολα βήματα που περιγράφονται αργότερα στο άρθρο για να προστατευτείτε. Εάν χρησιμοποιείτε συχνά ένα δημόσιο σημείο πρόσβασης, ίσως είναι καιρός σκεφτείτε να χρησιμοποιήσετε ένα VPN .
Πώς μπορούμε να λύσουμε το πρόβλημα?
Δεδομένου ότι δεν υπάρχει τρόπος να λυθούν τα προβλήματα με το SSL, η μόνη λύση είναι για τους κατασκευαστές προγραμμάτων περιήγησης και τους διακομιστές ιστού να αναβαθμίσουν τα πάντα για να καταργήσουν την υποστήριξη για SSL και να απαιτούν μόνο κρυπτογράφηση TLS.
Η Google και ο Firefox έχουν ήδη ανακοινώσει ότι θα καταργήσουν την υποστήριξη στο μέλλον, και ενώ δεν έχουμε (ακόμα) ακούσει το ίδιο από τη Microsoft, είναι εξαιρετικά εύκολο ως τελικός χρήστης να απενεργοποιήσετε το SSL 3.0 στο IE. Οι περισσότερες από τις μεγάλες εταιρείες ιστού καταργούν την υποστήριξη για SSL μετά από αυτό το πρόβλημα, αλλά θα χρειαστεί λίγος χρόνος για να το κάνουν όλοι.
Ως καταναλωτής, μπορείτε να καταργήσετε την υποστήριξη για SSL από το πρόγραμμα περιήγησής σας χρησιμοποιώντας μία από τις μεθόδους που περιγράφονται παρακάτω - ή εάν χρησιμοποιείτε Firefox ή Google Chrome και δεν χρησιμοποιείτε hotspots όλη την ώρα, θα μπορούσατε να περιμένετε να ενημερώσουν το πρόγραμμα περιήγησης. Ή μπορείτε να βεβαιωθείτε ότι έχετε επιδιορθώσει το πρόβλημα μόνοι σας.
Απενεργοποίηση SSL 3.0 στο Mozilla Firefox
Εάν είστε χρήστης του Mozilla Firefox, οι ανησυχίες σας για το SSL 3.0 θα τεθούν στο κρεβάτι στις 25 Νοεμβρίου 2014 όταν κυκλοφορήσει το Fireox 34. Το ένα πρόβλημα με αυτό είναι ότι δεν είναι ακόμη Νοέμβριος και πρέπει να λάβετε μέτρα για να προστατευτείτε τώρα. Ξεκινήστε ανοίγοντας το πρόγραμμα περιήγησης Firefox και μεταβαίνοντας στο Έλεγχος έκδοσης SSL σελίδα λήψης στον Firefox.
Όταν εγκατασταθεί με επιτυχία, μπορείτε να εισαγάγετε "about: addons" στη γραμμή πλοήγησης και να επιλέξετε την επέκταση "Έλεγχος έκδοσης SSL". Μπορείτε να κάνετε κλικ στο "Επιλογές" για να δείτε τις ρυθμίσεις για την επέκταση. Βεβαιωθείτε ότι οι "Αυτόματες ενημερώσεις" είναι ενεργοποιημένες και ότι η "Ελάχιστη έκδοση SSL" έχει οριστεί σε "TLS 1.0"
Μετά την κυκλοφορία του Firefox 34, μπορείτε να απενεργοποιήσετε την επέκταση ή να την απεγκαταστήσετε.
Απενεργοποίηση SSL 3.0 στο Google Chrome
Εάν είστε χρήστης του Google Chrome, μπορείτε να είστε σίγουροι ότι το SSL 3.0 θα απενεργοποιηθεί τους επόμενους μήνες, αν και δεν έχουν ακόμη ορίσει ημερομηνία. Εάν θέλετε να προστατέψετε τον εαυτό σας τώρα, μπορεί να γίνει με λίγα απλά βήματα. Απλώς μεταβείτε στο εικονίδιο του Google Chrome στην επιφάνεια εργασίας και κάντε δεξί κλικ πάνω του και, στη συνέχεια, επιλέξτε "Ιδιότητες" στο κάτω μέρος του αναδυόμενου μενού.
Στο παράθυρο "Ιδιότητες" θα δείτε ένα πλαίσιο εισαγωγής κειμένου με την ένδειξη "Στόχος". Απλώς κάντε κλικ σε αυτό το πλαίσιο και πατήστε το κουμπί "Τέλος" στο πληκτρολόγιό σας. Στη συνέχεια, πατήστε το πλήκτρο διαστήματος και αντιγράψτε και επικολλήστε αυτό το κείμενο στο τέλος.
--ssl-version-min = tls1
Πατήστε "Εφαρμογή" και στη συνέχεια κάντε κλικ στο "Συνέχεια" στο αναδυόμενο παράθυρο και στη συνέχεια πατήστε "OK".
Τώρα το πρόγραμμα περιήγησής σας θα απορρίψει αυτόματα τα πιστοποιητικά SSL 3.0 και θα δεχτεί μόνο TLS 1.0 και νεότερη έκδοση. Αξίζει να σημειωθεί ότι εάν εκκινήσετε το Chrome μέσω οποιασδήποτε άλλης συντόμευσης στον υπολογιστή σας, δεν θα χρησιμοποιεί αυτήν τη σημαία.
Απενεργοποίηση SSL 3.0 στον Internet Explorer
Η Microsoft δεν έχει ακόμη ανακοινώσει πότε σκοπεύει να αντιμετωπίσει το ζήτημα SSL 3.0, επομένως είναι καλύτερο να το απενεργοποιήσετε μόνοι σας ανοίγοντας το μενού "Έναρξη" και πληκτρολογώντας "Επιλογές Διαδικτύου".
Μεταβείτε στην καρτέλα "Για προχωρημένους" και μετακινηθείτε προς τα κάτω στην ενότητα "Ασφάλεια" μέχρι να δείτε τις επιλογές SSL και TLS και, στη συνέχεια, αποεπιλέξτε την επιλογή "Χρήση SSL 3.0" και ενεργοποιήστε το TLS.
Με αυτόν τον τρόπο μπορείτε να είστε βέβαιοι ότι τα προγράμματα περιήγησής σας στο Διαδίκτυο είναι όλα ασφαλή από πιθανές επιθέσεις POODLE.
Πιστωτική εικόνα: Karen στο Flickr
