Каква е уязвимостта на POODLE и как можете да се защитите?
Трудно е да обгръщаме умовете си около всички тези интернет катастрофи, тъй като те се случват, и точно както си мислехме, че интернетът отново е сигурен, след като Heartbleed и Shellshock заплашиха, че ще "приключат живота, какъвто го познаваме", идва POODLE.
Не се прекалявайте, защото не е толкова заплашително, колкото звучи. Истината е, че това е въпрос, който трябва да се разглежда, но има прости стъпки, които можете да предприемете, за да се защитите.
Какво е POODLE?
Да започнем на приземния етаж. Какво е POODLE? Първо, означава „Оползотворяване на Oracle върху понижено криптиране.Проблемът със сигурността е точно това, което подсказва името, понижаване на протокола, което позволява експлоатацията на остаряла форма на криптиране. Въпросът привлече вниманието на света този месец, когато Google пусна книга, озаглавена "Това POODLE Bites: Използване на резервния SSL 3.0".
За да обясните това с по-прости думи, ако хакер, използващ атака от човек в средата, може да поеме контрола върху маршрутизатор на обществена точка за достъп, те могат да принудят браузъра ви да се превърне в SSL 3.0 (по-стар протокол), вместо да използва много по-модерна TLS (Transport Layer Security), а след това използвайте дупка в SSL, за да отвлечете сесиите на вашия браузър. Тъй като този проблем е в протокола, всичко, което използва SSL, е засегнато.
Докато и сървърът, и клиентът (уеб браузърът) поддържат SSL 3.0, нападателят може да принуди да се понижи в протокола, така че дори ако браузърът ви се опита да използва TLS, той ще бъде принуден да използва SSL. Единственият отговор е от едната или от двете страни да премахнат поддръжката на SSL, премахвайки възможността да бъдат понижени.
Ако основно преглеждате от вкъщи и не използвате публични горещи точки, потенциалът за щети е доста нисък и можете просто да предприемете лесните стъпки, описани по-късно в статията, за да се предпазите. Ако често използвате обществена точка за достъп, може би е време да помислите за използването на VPN.
Как можем да решим проблема?
Тъй като няма начин да се решат проблемите с SSL, единственото решение е създателите на браузъри и уеб сървърите да обновят всичко, за да премахнат поддръжката за SSL и да изискват само шифроване на TLS.
Google и Firefox вече обявиха, че в бъдеще ще премахват поддръжката и макар че все още не сме чували същото от Microsoft, това е изключително лесно като краен потребител да деактивира SSL 3.0 в IE. Повечето от големите уеб компании премахват поддръжката за SSL, след като този проблем се появи, но ще отнеме известно време, докато всички го направят..
Като потребител можете да премахнете поддръжката за SSL от браузъра си, като използвате един от описаните по-долу методи - или ако използвате Firefox или Google Chrome и не използвате горещи точки през цялото време, можете да изчакате да актуализират браузъра. Или можете да се уверите, че сами сте разрешили проблема.
Деактивиране на SSL 3.0 в Mozilla Firefox
Ако сте потребител на Mozilla Firefox, вашият проблем със SSL 3.0 ще бъде поставен на легло на 25 ноември 2014 г., когато Fireox 34 е освободен. Единственият проблем с това е, че все още не е през ноември и трябва да предприемете действия, за да се защитите сега. Започнете, като отворите браузъра Firefox и отидете на страницата за изтегляне на SSL версията в Firefox.
Когато е инсталиран успешно, можете да въведете „about: addons“ в навигационната лента и да изберете „SSL Version Control“. Можете да кликнете върху „Опции“, за да видите настройките за разширението. Уверете се, че „Автоматичните актуализации“ са включени и че „минималната SSL версия“ е зададена на „TLS 1.0“
След като Firefox 34 е бил освободен, можете да се чувствате свободни да деактивирате разширението или да го деинсталирате.
Деактивиране на SSL 3.0 в Google Chrome
Ако сте потребител на Google Chrome, можете да бъдете сигурни, че SSL 3.0 ще бъде деактивиран през следващите месеци, въпреки че все още не са задали дата. Ако искате да се защитите сега, това може да се направи в няколко прости стъпки. Просто отидете на иконата на работния плот на Google Chrome и кликнете с десния бутон върху нея, след което изберете „Свойства“ в долната част на изскачащото меню.
В прозореца “Properties” ще видите поле за въвеждане на текст, което казва “Target”. Просто щракнете в това поле и натиснете бутона “End” на клавиатурата. След това натиснете "Интервал" и копирайте и поставете този текст в края.
--SSL версия-мин = tls1
Натиснете “Apply”, след това натиснете “Continue” в изскачащия прозорец и натиснете “OK”.
Сега браузърът автоматично ще отхвърли SSL 3.0 сертификатите и ще приеме само TLS 1.0 и по-нови. Заслужава да се отбележи, че ако стартирате Chrome чрез някакъв друг пряк път на компютъра си, той няма да използва този флаг.
Деактивиране на SSL 3.0 в Internet Explorer
Microsoft все още не е обявила, когато планира да реши проблема с SSL 3.0, така че най-добре е да я деактивирате, като отворите менюто „Старт“ и въведете „Опции за интернет“.
Отворете раздела „Разширени“ и превъртете надолу до секцията „Сигурност“, докато видите опциите за SSL и TLS, след което премахнете отметката на опцията за Използване на SSL 3.0 и активирайте TLS..
По този начин можете да сте сигурни, че вашите интернет браузъри са защитени от всякакви потенциални POODLE атаки.
Кредит за снимката: Карен на Flickr