Što je Poodle ranjivost i kako se možete zaštititi?
Teško je zamotati naše umove oko svih ovih internetskih katastrofa kako se one događaju, i baš kao što smo mislili da je internet ponovno siguran nakon što su Heartbleed i Shellshock zaprijetili da će "okončati život onako kako ga mi znamo", dolazi POODLE.
Nemojte se previše obrađivati jer nije tako prijeteće kao što zvuči. Istina je da je to pitanje s kojim se treba baviti, ali postoje jednostavni koraci koje možete poduzeti kako biste se zaštitili.
Što je POODLE?
Počnimo u prizemlju. Što je POODLE? Prije svega, to značiDodavanje Oracle-a na degradiranu staru enkripciju.“Sigurnosni problem je upravo ono što ime sugerira, unazad protokola koji omogućuje eksplozije na zastarjelom obliku šifriranja. Problem je došao na svjetsku pozornost ovog mjeseca kada je Google objavio rad pod nazivom "This POODLE Bites: iskorištavanje rezervne SSL 3,0".
Da bi to objasnili jednostavnije, ako napadač koji koristi Man-In-The-Middle napad može preuzeti kontrolu nad usmjerivačem na javnom hotspotu, oni mogu prisiliti preglednik da se vrati na SSL 3.0 (stariji protokol) umjesto korištenja mnogo moderniji TLS (Transport Layer Security), a zatim iskorištavaju sigurnosnu rupu u SSL-u kako bi oteli sesije preglednika. Budući da je ovaj problem u protokolu, to utječe na sve što koristi SSL.
Sve dok i poslužitelj i klijent (web preglednik) podržavaju SSL 3.0, napadač može prisiliti unazaditi protokol, pa čak i ako vaš preglednik pokuša koristiti TLS, on će na kraju morati umjesto toga koristiti SSL. Jedini odgovor je da bilo koja strana ili obje strane uklone podršku za SSL, uklanjajući mogućnost da budu snižene.
Ako prvenstveno pregledavate od kuće i ne koristite javne vruće točke, potencijal za oštećenje je prilično nizak i možete poduzeti jednostavne korake opisane kasnije u članku kako biste se zaštitili. Ako često koristite javnu pristupnu točku, možda je vrijeme da razmislite o korištenju VPN-a.
Kako riješiti problem?
Budući da nema načina da riješite probleme s SSL-om, jedino rješenje je da proizvođači i web-poslužitelji preglednika nadograde sve kako bi uklonili podršku za SSL i zahtijevaju samo TLS šifriranje.
Google i Firefox već su najavili da će uklanjati podršku u budućnosti, i dok još nismo čuli isto od Microsofta, krajnje je jednostavno kao krajnji korisnik onemogućiti SSL 3.0 u IE-u. Većina velikih web-tvrtki uklanja podršku za SSL nakon što je ovaj problem otkriven, ali će potrajati dok to ne učine svi.
Kao potrošač, možete ukloniti podršku za SSL iz svog preglednika pomoću jedne od dolje navedenih metoda - ili ako koristite Firefox ili Google Chrome i ne koristite vruće točke cijelo vrijeme, mogli biste pričekati da ažuriraju preglednik. Ili se možete uvjeriti da ste sami riješili problem.
Onemogućavanje SSL 3.0 u pregledniku Mozilla Firefox
Ako ste korisnik Mozilla Firefoxa, vaši problemi s SSL 3.0 bit će stavljeni na spavanje 25. studenog 2014. kada je objavljen Fireox 34. \ t Jedini problem s tim je što još nije u studenom i morate poduzeti mjere kako biste se sada zaštitili. Počnite s otvaranjem preglednika Firefox i otvaranjem stranice za preuzimanje SSL verzije u Firefoxu.
Kada je uspješno instaliran, možete unijeti "about: addons" u navigacijsku traku i odabrati nastavak "SSL Version Control". Možete kliknuti na “Opcije” da biste vidjeli postavke za proširenje. Provjerite jesu li uključene "Automatsko ažuriranje" i da je "Minimalna SSL verzija" postavljena na "TLS 1.0"
Nakon što je Firefox 34 izdan, možete slobodno onemogućiti proširenje ili ga deinstalirati.
Onemogućavanje SSL 3.0 u pregledniku Google Chrome
Ako ste korisnik usluge Google Chrome, možete biti sigurni da će SSL 3.0 biti onemogućen u nadolazećim mjesecima, iako još nisu odredili datum. Ako se sada želite zaštititi, to se može učiniti u nekoliko jednostavnih koraka. Jednostavno idite na svoju ikonu Google Chrome na radnoj površini i kliknite je desnom tipkom miša, a zatim odaberite "Svojstva" na dnu skočnog izbornika.
U prozoru "Svojstva" vidjet ćete okvir za unos teksta u kojem piše "Target". Jednostavno kliknite na ovaj okvir i pritisnite gumb "End" na tipkovnici. Zatim pritisnite "Razmaknica" i kopirajte i zalijepite ovaj tekst na kraj.
--SSL-verzija-min = tls1
Pritisnite “Apply” i zatim “Continue” u skočnom prozoru i pritisnite “OK”.
Sada će vaš preglednik automatski odbiti SSL 3.0 certifikate i prihvatiti samo TLS 1.0 i noviji. Važno je napomenuti da ako pokrenete Chrome putem neke druge prečice na računalu, neće koristiti ovu oznaku.
Onemogućavanje SSL 3.0 u programu Internet Explorer
Microsoft još nije najavio kada planira rješavanje problema s SSL 3.0, pa je najbolje da ga sami onemogućite otvaranjem izbornika "Start" i upisivanjem "Internet Options".
Idite na karticu "Napredno" i pomaknite se do odjeljka "Sigurnost" dok ne vidite opcije SSL i TLS, a zatim poništite potvrdu opcije za Koristi SSL 3.0 i umjesto toga omogućite TLS.
Na taj način možete biti sigurni da su vaši internetski preglednici sigurni od bilo kakvih potencijalnih POODLE napada.
Zasluge za sliku: Karen na Flickru