קשה לעטוף את מוחנו סביב כל אסונות האינטרנט הללו כשהם מתרחשים, וכמו שחשבנו שהאינטרנט שוב מאובטח לאחר ש- Heartbleed ו- Shellshock איימו "לסיים את החיים כפי שאנו מכירים אותם", יוצא POODLE.
אל תסתדר יותר מדי כי זה לא מאיים כמו שזה נשמע. האמת היא שזה עניין שאתה צריך להיות מודאג ממנו, אבל יש צעדים פשוטים שאתה יכול לנקוט כדי להגן על עצמך.
מה זה POODLE?
נתחיל בקומת הקרקע. מה זה POODLE? ראשית, זה מייצג " ריפוד אורקל בהצפנת מורשת משודרגת . ” נושא האבטחה הוא בדיוק מה שהשם מרמז, שדרוג לאחור של פרוטוקול המאפשר ניצולים בצורת קידוד מיושנת. הנושא הגיע לתשומת לב העולם החודש כשגוגל פרסמה מאמר בשם "This POODLE Bites: Exploiting The SSL 3.0 Fallback".
קָשׁוּר: כיצד להתחבר ל- VPN ב- Windows
כדי להסביר זאת במילים פשוטות יותר, אם תוקף המשתמש במתקפת Man-In-the-Middle יכול להשתלט על נתב בנקודה חמה ציבורית, הוא יכול לאלץ את הדפדפן שלך להוריד את הדירוג ל- SSL 3.0 (פרוטוקול ישן יותר) במקום להשתמש ב- הרבה יותר מודרני TLS (Transport Layer Security), ואז נצל חור אבטחה ב- SSL כדי לחטוף את הפעלות הדפדפן שלך. מאחר ובעיה זו נמצאת בפרוטוקול, כל מה שמשתמש ב- SSL מושפע.
כל עוד השרת וגם הלקוח (דפדפן האינטרנט) תומכים ב- SSL 3.0, התוקף יכול לאלץ שדרוג לאחור בפרוטוקול, כך שגם אם הדפדפן שלך מנסה להשתמש ב- TLS, בסופו של דבר הוא נאלץ להשתמש ב- SSL במקום זאת. התשובה היחידה היא ששני הצדדים או שני הצדדים יסירו את התמיכה ב- SSL, מה שמסיר את האפשרות להוריד את הדירוג.
אם אתה גולש בעיקר מהבית ולא משתמש במוקדים ציבוריים, פוטנציאל הנזק הוא די נמוך, ואתה יכול פשוט לנקוט בצעדים הקלים המתוארים בהמשך המאמר כדי להגן על עצמך. אם אתה מרבה להשתמש במוקד ציבורי, ייתכן שהגיע הזמן לעשות זאת חשוב להשתמש ב- VPN .
כיצד נוכל לפתור את הבעיה?
מכיוון שאין דרך לפתור את הבעיות עם SSL, הפיתרון היחיד הוא שמייצרי הדפדפנים ושרתי האינטרנט ישדרגו הכל כדי להסיר תמיכה ב- SSL ודורשים הצפנת TLS בלבד.
גוגל ופיירפוקס כבר הודיעו כי יסירו את התמיכה בעתיד, ולמרות שלא (עדיין) שמענו את זה ממיקרוסופט, קל מאוד כמשתמש קצה להשבית את SSL 3.0 ב- IE. מרבית חברות האינטרנט הגדולות מסירות תמיכה ב- SSL לאחר שהתגלה בעיה זו, אך ייקח זמן עד שכולם יעשו זאת.
כצרכן, אתה יכול להסיר תמיכה ב- SSL מהדפדפן באמצעות אחת מהשיטות המתוארות להלן - או אם אתה משתמש ב- Firefox או ב- Google Chrome ואינך משתמש בנקודות חמות כל הזמן, תוכל להמתין עדכון הדפדפן. לחלופין, תוכל לוודא שתיקנת את הבעיה בעצמך.
השבתת SSL 3.0 ב- Mozilla Firefox
אם אתה משתמש ב- Mozilla Firefox, דאגות ה- SSL 3.0 שלך יושכבו למיטה ב- 25 בנובמבר 2014, כאשר Fireox 34 ישוחרר. הבעיה היחידה בכך היא שעוד לא נובמבר ואתה צריך לנקוט פעולה כדי להגן על עצמך עכשיו. התחל על ידי פתיחת דפדפן פיירפוקס וניווט אל בקרת גרסת SSL דף להוריד ב- Firefox.
לאחר התקנתו בהצלחה, תוכלו להזין "בערך: תוספות" לסרגל הניווט ולבחור את התוסף "בקרת גרסת SSL". אתה יכול ללחוץ על "אפשרויות" כדי לראות את הגדרות התוסף. וודא כי "העדכונים האוטומטיים" פועלים וכי "גרסת ה- SSL המינימלית" מוגדרת כ- "TLS 1.0"
לאחר שחרורו של Firefox 34, אתה מוזמן להשבית את התוסף או להסיר אותו.
השבתת SSL 3.0 ב- Google Chrome
אם אתה משתמש ב- Google Chrome, אתה יכול להיות סמוך ובטוח ש- SSL 3.0 יושבת בחודשים הקרובים, אם כי עדיין לא קבעו תאריך. אם אתה רוצה להגן על עצמך עכשיו, זה יכול להיעשות בכמה צעדים פשוטים. פשוט עבור לסמל שולחן העבודה של Google Chrome ולחץ עליו באמצעות לחצן העכבר הימני ואז בחר "מאפיינים" בתחתית התפריט הקופץ.
בחלון "מאפיינים" תראה תיבת קלט טקסט שאומרת "יעד". כל שעליך לעשות הוא ללחוץ בתיבה זו וללחוץ על כפתור "סיום" במקלדת. לאחר מכן לחץ על "מקש הרווח" והעתק והדבק טקסט זה בסוף.
--ssl-version-min = tls1
לחץ על "החל" ואז לחץ על "המשך" בחלון הקופץ ואז לחץ על "אישור".
כעת הדפדפן שלך ידחה אוטומטית אישורי SSL 3.0 ויקבל רק TLS 1.0 ומעלה. ראוי לציין שאם תפעיל את Chrome דרך כל קיצור דרך אחר במחשב שלך, הוא לא ישתמש בדגל זה.
השבתת SSL 3.0 ב- Internet Explorer
מיקרוסופט טרם הודיעה מתי הם מתכננים לטפל בבעיה SSL 3.0 ולכן עדיף להשבית אותה בעצמך על ידי פתיחת תפריט "התחל" והקלדת "אפשרויות אינטרנט".
עבור לכרטיסייה "מתקדם" וגלול מטה לקטע "אבטחה" עד שתראה את אפשרויות SSL ו- TLS, ואז בטל את הסימון של האפשרות השתמש ב- SSL 3.0 והפעל במקום זאת TLS.
בדרך זו אתה יכול להיות בטוח שדפדפני האינטרנט שלך מאובטחים מכל התקפות פוטנציאליות של POODLE.
אשראי תמונה: קארן בפליקר
