É difícil compreender todas essas catástrofes da Internet à medida que ocorrem, e assim como pensávamos que a Internet estava segura novamente depois que Heartbleed e Shellshock ameaçaram "acabar com a vida como a conhecemos", surge POODLE.
Não se preocupe muito porque não é tão ameaçador quanto parece. A verdade é que é um problema com o qual se deve preocupar, mas existem etapas simples que você pode seguir para se proteger.
O que é POODLE?
Vamos começar no andar térreo. O que é POODLE? Em primeiro lugar, significa “ Preenchimento do Oracle na criptografia anterior com downgrade . ” O problema de segurança é exatamente o que o nome sugere, um downgrade de protocolo que permite exploits em uma forma desatualizada de criptografia. O problema chamou a atenção do mundo neste mês, quando o Google lançou um artigo chamado “This POODLE Bites: Explorando o SSL 3.0 Fallback”.
RELACIONADOS: Como se conectar a uma VPN no Windows
Para explicar isso em termos mais simples, se um invasor usando um ataque Man-In-The-Middle pode assumir o controle de um roteador em um ponto de acesso público, ele pode forçar seu navegador a fazer o downgrade para SSL 3.0 (um protocolo mais antigo) em vez de usar o muito mais moderno TLS (Transport Layer Security) e, em seguida, explorar uma falha de segurança no SSL para sequestrar as sessões do seu navegador. Como o problema está no protocolo, qualquer coisa que use SSL é afetada.
Desde que tanto o servidor quanto o cliente (navegador da web) suportem SSL 3.0, o invasor pode forçar um downgrade no protocolo, então mesmo que seu navegador tente usar TLS, ele acaba sendo forçado a usar SSL. A única resposta é que um ou ambos os lados removam o suporte para SSL, removendo a possibilidade de ser rebaixado.
Se você navega principalmente de casa e não usa pontos de acesso públicos, o potencial de danos é muito baixo e você pode simplesmente seguir as etapas simples descritas mais adiante neste artigo para se proteger. Se você costuma usar um ponto de acesso público, pode ser hora de pense em usar uma VPN .
Como podemos resolver o problema?
Já que não há como resolver os problemas com SSL, a única solução é os fabricantes de navegadores e servidores da web atualizarem tudo para remover o suporte para SSL e exigir apenas criptografia TLS.
O Google e o Firefox já anunciaram que removerão o suporte no futuro e, embora (ainda) não tenhamos ouvido o mesmo da Microsoft, é extremamente fácil para um usuário final desabilitar SSL 3.0 no IE. A maioria das grandes empresas da web está removendo o suporte para SSL depois que esse problema veio à tona, mas vai demorar um pouco para que todos façam isso.
Como consumidor, você pode remover o suporte para SSL de seu navegador usando um dos métodos descritos abaixo - ou se estiver usando Firefox ou Google Chrome e não estiver usando pontos de acesso o tempo todo, pode esperar que eles atualizem o navegador. Ou você pode certificar-se de que corrigiu o problema sozinho.
Desativando SSL 3.0 no Mozilla Firefox
Se você é um usuário do Mozilla Firefox, suas preocupações com SSL 3.0 serão resolvidas em 25 de novembro de 2014, quando o Fireox 34 for lançado. O único problema com isso é que ainda não é novembro e você precisa tomar medidas para se proteger agora. Comece abrindo o navegador Firefox e navegando até o Controle de versão SSL página de download no Firefox.
Quando tiver sido instalado com sucesso, você pode inserir “about: addons” na barra de navegação e selecionar a extensão “SSL Version Control”. Você pode clicar em “Opções” para ver as configurações da extensão. Certifique-se de que as "Atualizações automáticas" estejam ativadas e que a "Versão SSL mínima" esteja definida como "TLS 1.0"
Após o lançamento do Firefox 34, você pode desabilitar a extensão ou desinstalá-la.
Desativando SSL 3.0 no Google Chrome
Se você é um usuário do Google Chrome, pode ter certeza de que o SSL 3.0 será desativado nos próximos meses, embora ainda não tenha definido uma data. Se você quiser se proteger agora, isso pode ser feito em algumas etapas simples. Basta ir ao ícone do Google Chrome na área de trabalho e clicar com o botão direito do mouse e selecionar “Propriedades” na parte inferior do menu pop-up.
Na janela “Propriedades”, você verá uma caixa de entrada de texto que diz “Destino”. Simplesmente clique nesta caixa e pressione o botão “End” em seu teclado. Em seguida, pressione a “Barra de espaço” e copie e cole este texto no final.
--ssl-version-min = tls1
Pressione “Aplicar”, clique em “Continuar” na janela pop-up e pressione “OK”.
Agora seu navegador rejeitará automaticamente os certificados SSL 3.0 e só aceitará TLS 1.0 e superior. É importante notar que se você iniciar o Chrome por meio de qualquer outro atalho em seu computador, ele não estará usando este sinalizador.
Desativando SSL 3.0 no Internet Explorer
A Microsoft ainda não anunciou quando está planejando resolver o problema do SSL 3.0, então é melhor desativá-lo abrindo o menu “Iniciar” e digitando “Opções da Internet”.
Vá para a guia “Avançado” e role para baixo até a seção “Segurança” até ver as opções SSL e TLS e, em seguida, desmarque a opção para Usar SSL 3.0 e habilite TLS.
Dessa forma, você pode ter certeza de que todos os seus navegadores de Internet estão protegidos contra quaisquer ataques POODLE em potencial.
Crédito da imagem: Karen no Flickr
