Thật khó để xoay quanh tâm trí của chúng tôi về tất cả những thảm họa Internet này khi chúng xảy ra và cũng giống như chúng tôi nghĩ rằng Internet đã an toàn trở lại sau khi Heartbleed và Shellshock đe dọa "kết thúc cuộc sống khi chúng tôi biết", POODLE xuất hiện.
Đừng làm việc quá nhiều vì nó không hấp dẫn như bạn tưởng. Sự thật là đó là một vấn đề cần được quan tâm, nhưng có những bước đơn giản bạn có thể thực hiện để bảo vệ mình.
POODLE là gì?
Hãy bắt đầu ở tầng trệt. POODLE là gì? Trước hết, nó là viết tắt của “ Padding Oracle vào mã hóa kế thừa bị hạ cấp . ” Vấn đề bảo mật đúng như tên gọi, một giao thức hạ cấp cho phép khai thác trên một dạng mã hóa lỗi thời. Vấn đề đã thu hút sự chú ý của thế giới trong tháng này khi Google phát hành một bài báo có tên “Trang web POODLE này: Khai thác Dự phòng SSL 3.0”.
LIÊN QUAN: Cách kết nối với VPN trong Windows
Để giải thích điều này một cách đơn giản hơn, nếu kẻ tấn công sử dụng cuộc tấn công Man-In-The-Middle có thể kiểm soát bộ định tuyến tại một điểm phát sóng công cộng, chúng có thể buộc trình duyệt của bạn hạ cấp xuống SSL 3.0 (một giao thức cũ hơn) thay vì sử dụng TLS (Bảo mật lớp truyền tải) hiện đại hơn nhiều, và sau đó khai thác lỗ hổng bảo mật trong SSL để chiếm đoạt các phiên trình duyệt của bạn. Vì vấn đề này nằm trong giao thức, bất kỳ thứ gì sử dụng SSL đều bị ảnh hưởng.
Miễn là cả máy chủ và máy khách (trình duyệt web) hỗ trợ SSL 3.0, kẻ tấn công có thể buộc hạ cấp giao thức, vì vậy, ngay cả khi trình duyệt của bạn cố gắng sử dụng TLS, nó sẽ bị buộc phải sử dụng SSL thay thế. Câu trả lời duy nhất là cho một trong hai bên hoặc cả hai bên loại bỏ hỗ trợ cho SSL, loại bỏ khả năng bị hạ cấp.
Nếu bạn chủ yếu duyệt từ nhà và không sử dụng các điểm truy cập công cộng, khả năng thiệt hại là khá thấp và bạn có thể thực hiện các bước đơn giản được nêu sau trong bài viết để tự bảo vệ mình. Nếu bạn thường sử dụng điểm phát sóng công cộng, có thể đã đến lúc nghĩ về việc sử dụng VPN .
Làm thế nào chúng ta có thể giải quyết vấn đề?
Vì không có cách nào để giải quyết vấn đề với SSL, giải pháp duy nhất dành cho các nhà sản xuất trình duyệt và máy chủ web nâng cấp mọi thứ để loại bỏ hỗ trợ cho SSL và chỉ yêu cầu mã hóa TLS.
Google và Firefox đã thông báo rằng họ sẽ loại bỏ hỗ trợ trong tương lai và mặc dù chúng tôi chưa (chưa) nhận được thông tin tương tự từ Microsoft, nhưng người dùng cuối vô cùng dễ dàng tắt SSL 3.0 trong IE. Hầu hết các công ty web lớn đang loại bỏ hỗ trợ cho SSL sau khi vấn đề này được đưa ra, nhưng sẽ mất một thời gian để mọi người làm như vậy.
Là người tiêu dùng, bạn có thể xóa hỗ trợ cho SSL khỏi trình duyệt của mình bằng một trong các phương pháp được nêu bên dưới - hoặc nếu bạn đang sử dụng Firefox hoặc Google Chrome và không thường xuyên sử dụng điểm phát sóng, bạn có thể đợi họ cập nhật trình duyệt. Hoặc bạn có thể đảm bảo rằng bạn đã tự khắc phục sự cố.
Tắt SSL 3.0 trong Mozilla Firefox
Nếu bạn là người dùng Mozilla Firefox, những lo ngại về SSL 3.0 của bạn sẽ được giải quyết vào ngày 25 tháng 11 năm 2014 khi Fireox 34 được phát hành. Một vấn đề với điều này là chưa đến tháng 11 và bạn cần phải hành động để bảo vệ mình ngay bây giờ. Bắt đầu bằng cách mở trình duyệt Firefox của bạn và điều hướng đến Kiểm soát phiên bản SSL trang tải xuống trong Firefox.
Khi nó đã được cài đặt thành công, bạn có thể nhập “about: addons” vào thanh điều hướng và chọn phần mở rộng “Kiểm soát Phiên bản SSL”. Bạn có thể nhấp vào “Tùy chọn” để xem các cài đặt cho tiện ích mở rộng. Đảm bảo rằng "Cập nhật tự động" được bật và "Phiên bản SSL tối thiểu" được đặt thành "TLS 1.0"
Sau khi Firefox 34 được phát hành, bạn có thể vô hiệu hóa hoặc gỡ cài đặt tiện ích này.
Tắt SSL 3.0 trong Google Chrome
Nếu bạn là người dùng Google Chrome, bạn có thể yên tâm rằng SSL 3.0 sẽ bị vô hiệu hóa trong những tháng tới, mặc dù họ chưa đặt ngày. Nếu bạn muốn bảo vệ mình ngay bây giờ, nó có thể được thực hiện trong một vài bước đơn giản. Chỉ cần đi tới biểu tượng màn hình Google Chrome của bạn và nhấp chuột phải vào biểu tượng đó, sau đó chọn “Thuộc tính” ở cuối menu bật lên.
Trong cửa sổ “Thuộc tính”, bạn sẽ thấy một hộp nhập văn bản có nội dung “Mục tiêu”. Chỉ cần nhấp vào ô này và nhấn nút “Kết thúc” trên bàn phím của bạn. Tiếp theo, nhấn “Phím cách” và sao chép và dán văn bản này vào cuối.
--ssl-version-min = tls1
Nhấn “Áp dụng” rồi nhấp vào “Tiếp tục” trong cửa sổ bật lên rồi nhấn “OK”.
Bây giờ trình duyệt của bạn sẽ tự động từ chối chứng chỉ SSL 3.0 và chỉ chấp nhận TLS 1.0 trở lên. Cần lưu ý rằng nếu bạn khởi chạy Chrome thông qua bất kỳ phím tắt nào khác trên máy tính của mình, thì Chrome sẽ không sử dụng cờ này.
Tắt SSL 3.0 trong Internet Explorer
Microsoft vẫn chưa công bố khi nào họ dự định giải quyết vấn đề SSL 3.0, vì vậy tốt nhất là bạn nên tự vô hiệu hóa nó bằng cách mở menu “Bắt đầu” và nhập vào “Tùy chọn Internet”.
Chuyển đến tab “Nâng cao” và cuộn xuống phần “Bảo mật” cho đến khi bạn thấy các tùy chọn SSL và TLS, sau đó bỏ chọn tùy chọn Sử dụng SSL 3.0 và bật TLS thay thế.
Bằng cách này, bạn có thể chắc chắn rằng tất cả các trình duyệt Internet của bạn đều an toàn trước mọi cuộc tấn công POODLE tiềm ẩn.
Tín dụng hình ảnh: Karen trên Flickr
