Aklımızı tüm bu İnternet felaketlerinin ortaya çıktığı anda etrafına sarmak zor ve tıpkı Heartbleed ve Shellshock'un "bildiğimiz hayatı sona erdirme" tehdidinden sonra İnternetin tekrar güvenli olduğunu düşündüğümüz gibi, ortaya POODLE çıkıyor.
Çok heyecanlanmayın çünkü göründüğü kadar tehditkar değil. Gerçek şu ki, ilgilenilmesi gereken bir konu, ancak kendinizi korumak için atabileceğiniz basit adımlar var.
POODLE nedir?
Zemin kattan başlayalım. POODLE nedir? Öncelikle, " Eski Sürüm Şifrelemede Oracle'ı Doldurma . " Güvenlik sorunu tam olarak adından da anlaşılacağı gibi, güncel olmayan bir şifreleme biçimindeki istismarlara izin veren bir protokol indirgeme. Bu ay Google'ın "This POODLE Bites: Exploiting The SSL 3.0 Fallback" adlı bir makalesini yayınlamasıyla bu sorun dünyanın dikkatini çekti.
İLİŞKİLİ: Windows'ta VPN'e Nasıl Bağlanır
Bunu daha basit bir şekilde açıklamak gerekirse, Man-In-The-Middle saldırısı kullanan bir saldırgan, genel bir erişim noktasında bir yönlendiricinin kontrolünü ele geçirebilirse, tarayıcınızı SSL 3.0'a (eski bir protokol) düşürmek için çok daha modern TLS (Taşıma Katmanı Güvenliği) ve ardından tarayıcı oturumlarınızı ele geçirmek için SSL'deki bir güvenlik açığından yararlanın. Bu sorun protokolde olduğundan, SSL kullanan her şey etkilenir.
Hem sunucu hem de istemci (web tarayıcısı) SSL 3.0'ı desteklediği sürece, saldırgan protokolde bir düşürmeyi zorlayabilir, bu nedenle tarayıcınız TLS kullanmaya çalışsa bile, bunun yerine SSL kullanmaya zorlanır. Tek cevap, her iki tarafın veya her iki tarafın da SSL desteğini kaldırarak, sürüm düşürme olasılığını ortadan kaldırmasıdır.
Öncelikle evden göz atıyor ve halka açık noktaları kullanmıyorsanız, hasar potansiyeli oldukça düşüktür ve kendinizi korumak için makalenin sonraki bölümlerinde açıklanan kolay adımları uygulayabilirsiniz. Sık sık halka açık bir hotspot kullanıyorsanız, VPN kullanmayı düşünün .
Problemi nasıl çözebiliriz?
SSL ile ilgili sorunları çözmenin bir yolu olmadığından, tarayıcı üreticilerinin ve web sunucularının tek çözüm, SSL desteğini kaldırmak ve yalnızca TLS şifrelemesini gerektirmek için her şeyi yükseltmesidir.
Google ve Firefox, gelecekte desteği kaldıracaklarını çoktan duyurdular ve aynı şeyi Microsoft'tan (henüz) duymamış olsak da, bir son kullanıcı olarak IE'de SSL 3.0'ı devre dışı bırakmak son derece kolaydır. Büyük web şirketlerinin çoğu, bu sorun ortaya çıktıktan sonra SSL desteğini kaldırıyor, ancak herkesin bunu yapması biraz zaman alacak.
Bir tüketici olarak, aşağıda belirtilen yöntemlerden birini kullanarak tarayıcınızdan SSL desteğini kaldırabilirsiniz veya Firefox veya Google Chrome kullanıyorsanız ve her zaman etkin noktaları kullanmıyorsanız, tarayıcıyı güncellemelerini bekleyebilirsiniz. Ya da sorunu kendi kendinize çözdüğünüzden emin olabilirsiniz.
Mozilla Firefox'ta SSL 3.0'ı devre dışı bırakma
Mozilla Firefox kullanıcısıysanız, SSL 3.0 endişeleriniz, Fireox 34 piyasaya sürüldüğünde 25 Kasım 2014 tarihinde gündeme gelecektir. Bununla ilgili tek sorun, henüz Kasım ayı olmaması ve kendinizi korumak için hemen harekete geçmeniz gerekmesidir. Firefox tarayıcınızı açıp şuraya giderek başlayın: SSL Sürüm Kontrolü Firefox'ta indirme sayfası.
Başarıyla kurulduğunda, gezinme çubuğuna "about: addons" yazabilir ve "SSL Sürüm Kontrolü" uzantısını seçebilirsiniz. Uzantının ayarlarını görmek için "Seçenekler" e tıklayabilirsiniz. "Otomatik Güncellemeler" in açık olduğundan ve "Minimum SSL Sürümü" nün "TLS 1.0" olarak ayarlandığından emin olun
Firefox 34 piyasaya sürüldükten sonra, eklentiyi devre dışı bırakabilir veya kaldırabilirsiniz.
Google Chrome'da SSL 3.0'ı devre dışı bırakma
Google Chrome kullanıcısıysanız, henüz bir tarih belirlememiş olsalar bile önümüzdeki aylarda SSL 3.0'ın devre dışı bırakılacağından emin olabilirsiniz. Kendinizi şimdi korumak istiyorsanız, bunu birkaç basit adımda yapabilirsiniz. Google Chrome masaüstü simgenize gidin ve üzerine sağ tıklayın, ardından açılır menünün altındaki "Özellikler" i seçin.
"Özellikler" penceresinde, "Hedef" yazan bir metin giriş kutusu göreceksiniz. Bu kutuyu tıklamanız ve klavyenizdeki "Sonlandır" düğmesine basmanız yeterlidir. Ardından, "Boşluk çubuğuna" basın ve bu metni kopyalayıp sonuna yapıştırın.
--ssl-version-min=tls1
"Uygula" ya basın, ardından açılan pencerede "Devam" ı tıklayın ve ardından "Tamam" a basın.
Artık tarayıcınız SSL 3.0 sertifikalarını otomatik olarak reddedecek ve yalnızca TLS 1.0 ve üstünü kabul edecektir. Chrome'u bilgisayarınızda başka bir kısayol kullanarak başlatırsanız, bu bayrağı kullanmayacağını belirtmek gerekir.
Internet Explorer'da SSL 3.0'ı devre dışı bırakma
Microsoft, SSL 3.0 sorununu ne zaman ele almayı planladıklarını henüz duyurmadı, bu nedenle "Başlat" menünüzü açıp "İnternet Seçenekleri" yazarak bunu kendiniz devre dışı bırakmanız en iyisidir.
"Gelişmiş" sekmesine gidin ve SSL ve TLS seçeneklerini görene kadar "Güvenlik" bölümüne gidin ve ardından SSL 3.0 Kullan seçeneğinin işaretini kaldırın ve bunun yerine TLS'yi etkinleştirin.
Bu şekilde, İnternet tarayıcılarınızın tüm potansiyel POODLE saldırılarına karşı güvende olduğundan emin olabilirsiniz.
Resim Kredisi: Flickr'da Karen
