Trudno jest skupić się na tych wszystkich katastrofach internetowych, gdy się pojawiają, i tak jak myśleliśmy, że Internet jest znowu bezpieczny po tym, jak Heartbleed i Shellshock zagrozili „zakończeniem życia takiego, jakie znamy”, tak oto pojawia się POODLE.
Nie denerwuj się, ponieważ nie jest to tak groźne, jak się wydaje. Prawda jest taka, że jest to problem, którym należy się zająć, ale są proste kroki, które możesz podjąć, aby się zabezpieczyć.
Co to jest POODLE?
Zacznijmy na parterze. Co to jest POODLE? Po pierwsze, oznacza „ Wypełnienie Oracle w przypadku obniżonej wersji dotychczasowego szyfrowania . ” Kwestia bezpieczeństwa jest dokładnie tym, co sugeruje nazwa, obniżeniem wersji protokołu, który umożliwia wykorzystanie przestarzałej formy szyfrowania. Kwestia ta zwróciła uwagę świata w tym miesiącu, kiedy Google opublikował artykuł zatytułowany „This POODLE Bites: Exploiting The SSL 3.0 Fallback”.
ZWIĄZANE Z: Jak połączyć się z VPN w systemie Windows
Aby wyjaśnić to w prostszy sposób, jeśli osoba atakująca wykorzystująca atak typu Man-In-The-Middle może przejąć kontrolę nad routerem w publicznym punkcie dostępowym, może zmusić przeglądarkę do przejścia na SSL 3.0 (starszy protokół) zamiast znacznie nowocześniejszy TLS (Transport Layer Security), a następnie wykorzystaj lukę w zabezpieczeniach SSL, aby przejąć sesje przeglądarki. Ponieważ ten problem dotyczy protokołu, dotyczy to wszystkiego, co używa SSL.
Dopóki zarówno serwer, jak i klient (przeglądarka internetowa) obsługują protokół SSL 3.0, osoba atakująca może wymusić obniżenie protokołu, więc nawet jeśli Twoja przeglądarka próbuje korzystać z TLS, w końcu zostaje zmuszona do korzystania z SSL. Jedyną odpowiedzią jest usunięcie przez jedną lub obie strony obsługi SSL, eliminując możliwość obniżenia poziomu.
Jeśli przeglądasz głównie z domu i nie korzystasz z publicznych hotspotów, potencjalne szkody są dość niskie i możesz po prostu wykonać proste kroki opisane w dalszej części artykułu, aby się chronić. Jeśli często korzystasz z publicznego hotspotu, być może nadszedł czas pomyśl o korzystaniu z VPN .
Jak możemy rozwiązać problem?
Ponieważ nie ma sposobu na rozwiązanie problemów z SSL, jedynym rozwiązaniem dla producentów przeglądarek i serwerów internetowych jest zaktualizowanie wszystkiego, aby usunąć obsługę SSL i wymagać tylko szyfrowania TLS.
Google i Firefox ogłosiły już, że w przyszłości wycofają obsługę i chociaż nie słyszeliśmy (jeszcze) tego samego od firmy Microsoft, jako użytkownik końcowy niezwykle łatwo jest wyłączyć SSL 3.0 w IE. Większość dużych firm internetowych wycofuje obsługę SSL po ujawnieniu tego problemu, ale każdemu zajmie trochę czasu.
Jako konsument możesz usunąć obsługę SSL w swojej przeglądarce, korzystając z jednej z metod opisanych poniżej - lub jeśli używasz przeglądarki Firefox lub Google Chrome i nie używasz przez cały czas hotspotów, możesz poczekać, aż zaktualizują przeglądarkę. Możesz też upewnić się, że sam rozwiązałeś problem.
Wyłączanie SSL 3.0 w Mozilla Firefox
Jeśli jesteś użytkownikiem Mozilla Firefox, Twoje obawy związane z SSL 3.0 zostaną wyjaśnione 25 listopada 2014 r., Gdy zostanie wydany Fireox 34. Jedynym problemem jest to, że nie jest jeszcze listopad i musisz teraz podjąć działania, aby się chronić. Zacznij od otwarcia przeglądarki Firefox i przejścia do pliku Kontrola wersji SSL pobrać stronę w przeglądarce Firefox.
Po pomyślnym zainstalowaniu możesz wpisać „about: addons” w pasku nawigacji i wybrać rozszerzenie „SSL Version Control”. Możesz kliknąć „Opcje”, aby zobaczyć ustawienia rozszerzenia. Upewnij się, że „Aktualizacje automatyczne” są włączone, a „Minimalna wersja SSL” jest ustawiona na „TLS 1.0”
Po wydaniu przeglądarki Firefox 34 możesz wyłączyć rozszerzenie lub odinstalować je.
Wyłączanie SSL 3.0 w Google Chrome
Jeśli jesteś użytkownikiem przeglądarki Google Chrome, możesz mieć pewność, że SSL 3.0 zostanie wyłączony w nadchodzących miesiącach, chociaż jeszcze nie ustalili daty. Jeśli chcesz się teraz zabezpieczyć, możesz to zrobić w kilku prostych krokach. Po prostu przejdź do ikony Google Chrome na pulpicie i kliknij ją prawym przyciskiem myszy, a następnie wybierz „Właściwości” u dołu menu podręcznego.
W oknie „Właściwości” zobaczysz pole wprowadzania tekstu z napisem „Cel”. Po prostu kliknij to pole i naciśnij przycisk „Zakończ” na klawiaturze. Następnie naciśnij „Spację” i skopiuj i wklej ten tekst na końcu.
--ssl-version-min = tls1
Naciśnij „Zastosuj”, a następnie kliknij „Kontynuuj” w wyskakującym okienku, a następnie naciśnij „OK”.
Teraz Twoja przeglądarka automatycznie odrzuca certyfikaty SSL 3.0 i akceptuje tylko TLS 1.0 i nowsze. Warto zauważyć, że jeśli uruchomisz Chrome za pomocą innego skrótu na komputerze, nie będzie używać tej flagi.
Wyłączanie SSL 3.0 w Internet Explorerze
Firma Microsoft nie ogłosiła jeszcze, kiedy planuje rozwiązać problem z protokołem SSL 3.0, dlatego najlepiej wyłączyć tę funkcję samodzielnie, otwierając menu „Start” i wpisując „Opcje internetowe”.
Przejdź do karty „Zaawansowane” i przewiń w dół do sekcji „Zabezpieczenia”, aż zobaczysz opcje SSL i TLS, a następnie usuń zaznaczenie opcji Użyj SSL 3.0 i włącz TLS.
W ten sposób możesz być pewien, że wszystkie Twoje przeglądarki internetowe są zabezpieczone przed potencjalnymi atakami POODLE.
Źródło zdjęcia: Karen na Flickr
