มันยากที่จะตัดความคิดของเราเกี่ยวกับภัยพิบัติทางอินเทอร์เน็ตทั้งหมดที่เกิดขึ้นและเช่นเดียวกับที่เราคิดว่าอินเทอร์เน็ตจะปลอดภัยอีกครั้งหลังจาก Heartbleed และ Shellshock ขู่ว่าจะ“ จบชีวิตอย่างที่เรารู้ ๆ กัน” POODLE ออกมา
อย่าทำงานมากเกินไปเพราะมันไม่น่ากลัวอย่างที่คิด ความจริงก็คือมันเป็นปัญหาที่ต้องกังวล แต่มีขั้นตอนง่ายๆที่คุณสามารถทำได้เพื่อป้องกันตัวเอง
POODLE คืออะไร?
เริ่มกันที่ชั้นล่าง POODLE คืออะไร? ก่อนอื่นย่อมาจากคำว่า“ Padding Oracle On Downgraded Legacy Encryption .” ปัญหาด้านความปลอดภัยคือสิ่งที่ชื่อแนะนำคือการดาวน์เกรดโปรโตคอลที่อนุญาตให้ใช้ประโยชน์จากรูปแบบการเข้ารหัสที่ล้าสมัย ปัญหาดังกล่าวได้รับความสนใจจากทั่วโลกในเดือนนี้เมื่อ Google เผยแพร่บทความชื่อ“ This POODLE Bites: Exploiting The SSL 3.0 Fallback”
ที่เกี่ยวข้อง: วิธีเชื่อมต่อ VPN ใน Windows
เพื่ออธิบายให้เข้าใจง่ายขึ้นหากผู้โจมตีที่ใช้การโจมตีแบบแมน - อิน - เดอะ - กลางสามารถควบคุมเราเตอร์ที่ฮอตสปอตสาธารณะได้พวกเขาสามารถบังคับให้เบราว์เซอร์ของคุณปรับลดรุ่นเป็น SSL 3.0 (โปรโตคอลที่เก่ากว่า) แทนที่จะใช้ TLS ที่ทันสมัยกว่ามาก (Transport Layer Security) จากนั้นใช้ประโยชน์จากช่องโหว่ความปลอดภัยใน SSL เพื่อจี้เซสชันเบราว์เซอร์ เนื่องจากปัญหานี้อยู่ในโปรโตคอลสิ่งใดก็ตามที่ใช้ SSL จะได้รับผลกระทบ
ตราบเท่าที่ทั้งเซิร์ฟเวอร์และไคลเอนต์ (เว็บเบราว์เซอร์) รองรับ SSL 3.0 ผู้โจมตีสามารถบังคับให้ดาวน์เกรดในโปรโตคอลได้ดังนั้นแม้ว่าเบราว์เซอร์ของคุณจะพยายามใช้ TLS แต่สุดท้ายก็ถูกบังคับให้ใช้ SSL แทน คำตอบเดียวคือให้ฝ่ายใดฝ่ายหนึ่งหรือทั้งสองฝ่ายลบการรองรับ SSL ซึ่งจะลบความเป็นไปได้ที่จะถูกลดระดับ
หากคุณท่องเว็บจากที่บ้านเป็นหลักและไม่ได้ใช้ฮอตสปอตสาธารณะโอกาสที่จะเกิดความเสียหายนั้นค่อนข้างต่ำและคุณสามารถทำตามขั้นตอนง่ายๆที่อธิบายไว้ในบทความเพื่อป้องกันตัวเองในภายหลัง หากคุณใช้ฮอตสปอตสาธารณะบ่อยๆอาจถึงเวลา ลองนึกถึงการใช้ VPN .
เราจะแก้ปัญหาได้อย่างไร?
เนื่องจากไม่มีวิธีแก้ปัญหาเกี่ยวกับ SSL ทางออกเดียวคือสำหรับผู้ผลิตเบราว์เซอร์และเว็บเซิร์ฟเวอร์ที่ต้องอัปเกรดทุกอย่างเพื่อลบการรองรับ SSL และต้องการการเข้ารหัส TLS เท่านั้น
Google และ Firefox ได้ประกาศแล้วว่าจะยกเลิกการสนับสนุนในอนาคตและในขณะที่เรายังไม่เคยได้ยินเรื่องเดียวกันจาก Microsoft แต่ผู้ใช้ปลายทางสามารถปิดใช้งาน SSL 3.0 ใน IE ได้ง่ายมาก บริษัท เว็บขนาดใหญ่ส่วนใหญ่กำลังยกเลิกการสนับสนุน SSL หลังจากที่ปัญหานี้เกิดขึ้น แต่ทุกคนจะต้องใช้เวลาสักพักในการดำเนินการดังกล่าว
ในฐานะผู้บริโภคคุณสามารถลบการรองรับ SSL ออกจากเบราว์เซอร์ของคุณได้โดยใช้วิธีใดวิธีหนึ่งที่ระบุไว้ด้านล่างหรือหากคุณใช้ Firefox หรือ Google Chrome และไม่ได้ใช้ฮอตสปอตตลอดเวลาคุณสามารถรอให้พวกเขาอัปเดตเบราว์เซอร์ได้ หรือคุณสามารถตรวจสอบว่าคุณได้แก้ไขปัญหาด้วยตัวเองแล้ว
การปิดใช้งาน SSL 3.0 ใน Mozilla Firefox
หากคุณเป็นผู้ใช้ Mozilla Firefox ข้อกังวลเกี่ยวกับ SSL 3.0 ของคุณจะเข้าสู่เตียงในวันที่ 25 พฤศจิกายน 2014 เมื่อ Fireox 34 เปิดตัว ปัญหาหนึ่งของเรื่องนี้คือยังไม่ถึงเดือนพฤศจิกายนและคุณต้องดำเนินการเพื่อปกป้องตัวเองในตอนนี้ เริ่มต้นด้วยการเปิดเบราว์เซอร์ Firefox ของคุณและไปที่ไฟล์ การควบคุมเวอร์ชัน SSL หน้าดาวน์โหลดใน Firefox
เมื่อติดตั้งสำเร็จคุณสามารถป้อน“ about: addons” ในแถบนำทางและเลือกส่วนขยาย“ การควบคุมเวอร์ชัน SSL” คุณสามารถคลิกที่“ ตัวเลือก” เพื่อดูการตั้งค่าสำหรับส่วนขยาย ตรวจสอบให้แน่ใจว่า "การอัปเดตอัตโนมัติ" เปิดอยู่และ "เวอร์ชัน SSL ขั้นต่ำ" ถูกตั้งค่าเป็น "TLS 1.0"
หลังจากเปิดตัว Firefox 34 แล้วคุณสามารถปิดการใช้งานส่วนขยายหรือถอนการติดตั้งได้
ปิดใช้งาน SSL 3.0 ใน Google Chrome
หากคุณเป็นผู้ใช้ Google Chrome คุณสามารถมั่นใจได้ว่า SSL 3.0 จะถูกปิดใช้งานในอีกไม่กี่เดือนข้างหน้าแม้ว่าจะยังไม่ได้กำหนดวันที่ก็ตาม หากคุณต้องการป้องกันตัวเองตอนนี้สามารถทำได้ในไม่กี่ขั้นตอนง่ายๆ เพียงไปที่ไอคอน Google Chrome บนเดสก์ท็อปของคุณแล้วคลิกขวาที่ไอคอนจากนั้นเลือก "คุณสมบัติ" ที่ด้านล่างของเมนูป๊อปอัป
ในหน้าต่าง "คุณสมบัติ" คุณจะเห็นช่องป้อนข้อความที่ระบุว่า "เป้าหมาย" เพียงคลิกในช่องนี้แล้วกดปุ่ม "สิ้นสุด" บนแป้นพิมพ์ของคุณ จากนั้นกด "Spacebar" และคัดลอกและวางข้อความนี้ลงในตอนท้าย
--ssl-version-min = tls1
กด“ นำไปใช้” จากนั้นคลิก“ ดำเนินการต่อ” ในหน้าต่างป๊อปอัปจากนั้นกด“ ตกลง”
ตอนนี้เบราว์เซอร์ของคุณจะปฏิเสธใบรับรอง SSL 3.0 โดยอัตโนมัติและยอมรับเฉพาะ TLS 1.0 ขึ้นไป เป็นที่น่าสังเกตว่าหากคุณเปิด Chrome ผ่านทางลัดอื่น ๆ บนคอมพิวเตอร์ของคุณจะไม่ใช้การตั้งค่าสถานะนี้
การปิดใช้งาน SSL 3.0 ใน Internet Explorer
Microsoft ยังไม่ได้ประกาศเมื่อพวกเขาวางแผนที่จะแก้ไขปัญหา SSL 3.0 ดังนั้นจึงเป็นการดีที่สุดที่จะปิดการใช้งานด้วยตัวเองโดยเปิดเมนู "เริ่ม" แล้วพิมพ์ "ตัวเลือกอินเทอร์เน็ต"
ไปที่แท็บ“ ขั้นสูง” และเลื่อนลงไปที่ส่วน“ ความปลอดภัย” จนกว่าคุณจะเห็นตัวเลือก SSL และ TLS จากนั้นยกเลิกการเลือกตัวเลือกสำหรับใช้ SSL 3.0 และเปิดใช้งาน TLS แทน
ด้วยวิธีนี้คุณจะมั่นใจได้ว่าอินเทอร์เน็ตเบราว์เซอร์ของคุณปลอดภัยจากการโจมตี POODLE ที่อาจเกิดขึ้น
เครดิตรูปภาพ: กะเหรี่ยงบน Flickr
