Główna » jak » Na czym polega luka POODLE i jak można się chronić?

    Na czym polega luka POODLE i jak można się chronić?

    Ciężko jest ominąć wszystkie te katastrofy internetowe w momencie ich pojawienia się i tak, jak myślałem, że Internet jest znowu bezpieczny po tym, jak Heartbleed i Shellshock zagrozili "końcowym życiem, jakie znamy". POZAZLE.

    Nie przejmuj się zbytnio, ponieważ nie jest tak groźny, jak się wydaje. Prawdą jest, że jest to kwestia, którą należy się zająć, ale są proste kroki, które można podjąć, aby zabezpieczyć się.

    Co to jest POODLE?

    Zacznijmy na parterze. Co to jest POODLE? Po pierwsze, oznacza "Wykończenie Oracle przy obniżonej starszej wersji szyfrowania."Problem bezpieczeństwa jest dokładnie taki, jak sugeruje nazwa, obniżenie protokołu, które pozwala na exploity na przestarzałej formie szyfrowania. Problem ten pojawił się na świecie w tym miesiącu, gdy firma Google opublikowała artykuł zatytułowany "This POODLE Bites: Exploiting Fallback SSL 3.0".

    Aby wyjaśnić to w prostszy sposób, jeśli atakujący wykorzystujący atak typu "Człowiek w środku" może przejąć kontrolę nad routerem w publicznym punkcie dostępowym, może zmusić przeglądarkę do przejścia na wersję SSL 3.0 (starszy protokół) zamiast korzystania z znacznie bardziej nowoczesne TLS (Transport Layer Security), a następnie wykorzystać lukę bezpieczeństwa w protokole SSL w celu przejęcia sesji przeglądarki. Ponieważ ten problem występuje w protokole, dotyczy to wszystkiego, co korzysta z protokołu SSL.

    Dopóki zarówno serwer, jak i klient (przeglądarka internetowa) obsługują SSL 3.0, atakujący może wymusić obniżenie wersji protokołu, więc nawet jeśli twoja przeglądarka próbuje użyć protokołu TLS, w końcu zostanie zmuszona do używania SSL. Jedyną odpowiedzią jest dla każdej ze stron lub obu stron na usunięcie obsługi SSL, co wyklucza możliwość obniżenia oceny.

    Jeśli głównie przeglądasz z domu i nie korzystasz z publicznych hotspotów, prawdopodobieństwo uszkodzenia jest dość niskie i możesz po prostu wykonać proste kroki opisane w dalszej części artykułu, aby się zabezpieczyć. Jeśli często korzystasz z publicznego hotspotu, być może nadszedł czas, aby pomyśleć o korzystaniu z VPN.

    Jak możemy rozwiązać problem?

    Ponieważ nie ma sposobu na rozwiązanie problemów z SSL, jedynym rozwiązaniem dla twórców przeglądarek i serwerów WWW jest uaktualnienie wszystkiego, aby usunąć obsługę SSL i wymagać tylko szyfrowania TLS.

    Google i Firefox już ogłosili, że w przyszłości będą usuwać pomoc techniczną i chociaż nie (jeszcze) nie słyszeliśmy tego samego od Microsoftu, wyjątkowo łatwo jest wyłączyć użytkownika SSL 3.0 w IE. Większość dużych firm internetowych usuwa obsługę protokołu SSL po ujawnieniu tego problemu, ale zajmie to dużo czasu każdemu, aby to zrobić..

    Jako konsument możesz usunąć obsługę SSL z przeglądarki, korzystając z jednej z metod opisanych poniżej - lub jeśli korzystasz z przeglądarki Firefox lub Google Chrome i nie korzystasz z hotspotów przez cały czas, możesz poczekać, aż zaktualizują przeglądarkę. Możesz też upewnić się, że sam rozwiązałeś problem.

    Wyłączanie SSL 3.0 w Mozilla Firefox

    Jeśli jesteś użytkownikiem Mozilla Firefox, twoje obawy związane z SSL 3.0 zostaną umieszczone w łóżku 25 listopada 2014 roku, kiedy Fireox 34 zostanie wydany. Jedynym problemem jest to, że nie jest to jeszcze listopad i musisz podjąć działania, aby się teraz chronić. Zacznij od otwarcia przeglądarki Firefox i przejścia do strony pobierania kontroli wersji SSL w Firefoksie.

    Po pomyślnym zainstalowaniu możesz wpisać "about: addons" w pasku nawigacji i wybrać rozszerzenie "Kontrola wersji SSL". Możesz kliknąć "Opcje", aby zobaczyć ustawienia dla rozszerzenia. Upewnij się, że "Automatyczne aktualizacje" są włączone i że "Minimalna wersja SSL" jest ustawiona na "TLS 1.0"

    Po wydaniu Firefoksa 34 możesz go wyłączyć lub odinstalować.

    Wyłączanie SSL 3.0 w Google Chrome

    Jeśli jesteś użytkownikiem przeglądarki Google Chrome, możesz mieć pewność, że SSL 3.0 zostanie wyłączony w nadchodzących miesiącach, chociaż nie ustawił jeszcze daty. Jeśli chcesz się teraz chronić, możesz to zrobić w kilku prostych krokach. Po prostu przejdź do swojej ikony pulpitu Google Chrome i kliknij ją prawym przyciskiem myszy, a następnie wybierz "Właściwości" u dołu wyskakującego menu.

    W oknie "Właściwości" pojawi się pole wprowadzania tekstu z napisem "Cel". Wystarczy kliknąć to pole i nacisnąć przycisk "Zakończ" na klawiaturze. Następnie naciśnij "Spację" i skopiuj i wklej ten tekst na końcu.

    --ssl-version-min = tls1

    Naciśnij "Zastosuj", a następnie kliknij "Dalej" w wyskakującym okienku, a następnie naciśnij "OK".

    Teraz Twoja przeglądarka automatycznie odrzuci certyfikaty SSL 3.0 i zaakceptuje tylko TLS 1.0 i nowsze wersje. Warto zauważyć, że jeśli uruchomisz Chrome za pomocą dowolnego innego skrótu na komputerze, nie będzie on używać tej flagi.

    Wyłączanie SSL 3.0 w Internet Explorerze

    Microsoft nie ogłosił jeszcze, kiedy planuje rozwiązać problem z SSL 3.0, więc najlepiej jest wyłączyć go samodzielnie, otwierając menu "Start" i wpisując "Opcje internetowe".

    Przejdź do zakładki "Zaawansowane" i przewiń w dół do sekcji "Zabezpieczenia", aż zobaczysz opcje SSL i TLS, a następnie odznacz opcję Użyj SSL 3.0 i włącz TLS.

    W ten sposób możesz mieć pewność, że twoje przeglądarki internetowe są bezpieczne od wszelkich potencjalnych ataków POODLE.

    Image Credit: Karen on Flickr