Het is moeilijk om onze gedachten rond al deze internetrampen te wikkelen terwijl ze zich voordoen, en net zoals we dachten dat het internet weer veilig was nadat Heartbleed en Shellshock dreigden 'een einde te maken aan het leven zoals we het kennen', komt POODLE.
Raak niet te opgewonden, want het is niet zo dreigend als het klinkt. De waarheid is dat het een probleem is om u zorgen over te maken, maar er zijn eenvoudige stappen die u kunt nemen om uzelf te beschermen.
Wat is POEDEL?
Laten we beginnen op de begane grond. Wat is POEDEL? Ten eerste staat het voor " Oracle opvullen met gedowngraded verouderde versleuteling . " Het beveiligingsprobleem is precies wat de naam doet vermoeden, een protocol-downgrade die exploits op een verouderde vorm van codering mogelijk maakt. Het probleem kwam deze maand onder de aandacht van de wereld toen Google een artikel publiceerde met de titel "This POODLE Bites: Exploiting The SSL 3.0 Fallback".
VERWANT: Verbinding maken met een VPN in Windows
Om dit eenvoudiger uit te leggen: als een aanvaller die een Man-In-The-Middle-aanval gebruikt de controle over een router op een openbare hotspot kan overnemen, kan hij uw browser dwingen te downgraden naar SSL 3.0 (een ouder protocol) in plaats van de veel modernere TLS (Transport Layer Security), en vervolgens misbruik maken van een beveiligingslek in SSL om uw browsersessies te kapen. Aangezien dit probleem in het protocol zit, wordt alles dat SSL gebruikt, beïnvloed.
Zolang zowel de server als de client (webbrowser) SSL 3.0 ondersteunen, kan de aanvaller een downgrade van het protocol forceren, dus zelfs als je browser TLS probeert te gebruiken, wordt hij uiteindelijk gedwongen om SSL te gebruiken. Het enige antwoord is dat beide zijden of beide zijden de ondersteuning voor SSL moeten verwijderen, waardoor de mogelijkheid van downgrades wordt verwijderd.
Als u voornamelijk vanuit huis browst en geen openbare hotspots gebruikt, is de kans op schade vrij laag en kunt u gewoon de eenvoudige stappen nemen die verderop in het artikel worden beschreven om uzelf te beschermen. Als u vaak een openbare hotspot gebruikt, is het misschien tijd om denk erover na om een VPN te gebruiken .
Hoe kunnen we het probleem oplossen?
Omdat er geen manier is om de problemen met SSL op te lossen, is de enige oplossing dat browsermakers en webservers alles upgraden om de ondersteuning voor SSL te verwijderen en alleen TLS-codering nodig hebben.
Google en Firefox hebben al aangekondigd dat ze de ondersteuning in de toekomst zullen verwijderen, en hoewel we (nog) niet hetzelfde van Microsoft hebben gehoord, is het als eindgebruiker buitengewoon eenvoudig om SSL 3.0 in IE uit te schakelen. De meeste grote internetbedrijven verwijderen de ondersteuning voor SSL nadat dit probleem aan het licht is gekomen, maar het zal even duren voordat iedereen dit heeft gedaan.
Als consument kunt u de ondersteuning voor SSL uit uw browser verwijderen met een van de onderstaande methoden - of als u Firefox of Google Chrome gebruikt en niet altijd hotspots gebruikt, kunt u wachten tot ze de browser hebben bijgewerkt. Of u kunt ervoor zorgen dat u het probleem zelf heeft opgelost.
SSL 3.0 uitschakelen in Mozilla Firefox
Als u een Mozilla Firefox-gebruiker bent, zullen uw SSL 3.0-zorgen op 25 november 2014 naar bed worden gebracht wanneer Fireox 34 wordt vrijgegeven. Het enige probleem hiermee is dat het nog geen november is en dat u nu actie moet ondernemen om uzelf te beschermen. Begin met het openen van uw Firefox-browser en navigeer naar het SSL-versiebeheer downloadpagina in Firefox.
Als het succesvol is geïnstalleerd, kunt u "about: addons" invoeren in de navigatiebalk en de extensie "SSL Version Control" selecteren. U kunt op "Opties" klikken om de instellingen voor de extensie te zien. Zorg ervoor dat de "Automatische updates" zijn ingeschakeld en dat de "Minimale SSL-versie" is ingesteld op "TLS 1.0"
Nadat Firefox 34 is uitgebracht, kunt u de extensie gerust uitschakelen of verwijderen.
SSL 3.0 uitschakelen in Google Chrome
Als u een Google Chrome-gebruiker bent, kunt u er zeker van zijn dat SSL 3.0 de komende maanden wordt uitgeschakeld, hoewel ze nog geen datum hebben ingesteld. Als u uzelf nu wilt beschermen, kan dit in een paar eenvoudige stappen worden gedaan. Ga gewoon naar uw Google Chrome-bureaubladpictogram en klik er met de rechtermuisknop op en selecteer vervolgens "Eigenschappen" onder aan het pop-upmenu.
In het venster "Eigenschappen" ziet u een tekstinvoervak met de tekst "Doel". Klik gewoon in dit vak en druk op de "End" -knop op uw toetsenbord. Druk vervolgens op de “spatiebalk” en kopieer en plak deze tekst op het einde.
--ssl-versie-min = tls1
Druk op "Toepassen" en klik vervolgens op "Doorgaan" in het pop-upvenster en druk vervolgens op "OK".
Nu zal uw browser automatisch SSL 3.0-certificaten weigeren en alleen TLS 1.0 en hoger accepteren. Het is vermeldenswaard dat als u Chrome start via een andere snelkoppeling op uw computer, deze vlag niet wordt gebruikt.
SSL 3.0 uitschakelen in Internet Explorer
Microsoft heeft nog niet aangekondigd wanneer ze van plan zijn het SSL 3.0-probleem aan te pakken, dus u kunt het het beste zelf uitschakelen door uw "Start" -menu te openen en "Internetopties" in te typen.
Ga naar het tabblad "Geavanceerd" en scrol omlaag naar het gedeelte "Beveiliging" totdat u de SSL- en TLS-opties ziet. Schakel vervolgens de optie SSL 3.0 gebruiken uit en schakel in plaats daarvan TLS in.
Op deze manier kunt u er zeker van zijn dat uw internetbrowsers allemaal beveiligd zijn tegen mogelijke POODLE-aanvallen.
Afbeelding tegoed: Karen op Flickr
