Ciężko jest ominąć wszystkie te katastrofy internetowe, kiedy się pojawiły, i tak jak myślałem, że Internet jest znowu bezpieczny po tym, jak Heartbleed i Shellshock zagrozili "końcowym życiem, jakie znamy", wychodzi POODLE.
Nie przejmuj się zbytnio, ponieważ nie jest tak groźny, jak się wydaje. Prawdą jest, że jest to kwestia, którą należy się zająć, ale są proste kroki, które można podjąć, aby zabezpieczyć się.
Zacznijmy na parterze. Co to jest POODLE? Po pierwsze, oznacza "Padding Oracle na obniżonym poziomie szyfrowania"Problem z bezpieczeństwem jest dokładnie taki, jak sugeruje nazwa, to obniżenie protokołu, które umożliwia exploity na przestarzałej formie szyfrowania. Problem ten pojawił się na świecie w tym miesiącu, gdy firma Google opublikowała artykuł zatytułowany "This POODLE Bites: Exploiting Fallback SSL 3.0".
Aby wyjaśnić to w prostszy sposób, jeśli atakujący wykorzystujący atak typu "człowiek w środku" może przejąć kontrolę nad routerem w publicznym punkcie dostępowym, może zmusić przeglądarkę do przejścia na wersję SSL 3.0 (starszy protokół) zamiast korzystania z znacznie bardziej nowoczesne TLS (Transport Layer Security), a następnie wykorzystać lukę bezpieczeństwa w protokole SSL w celu przejęcia sesji przeglądarki. Ponieważ ten problem występuje w protokole, dotyczy to wszystkiego, co korzysta z protokołu SSL.
Dopóki zarówno serwer, jak i klient (przeglądarka internetowa) obsługują SSL 3.0, osoba atakująca może wymusić obniżenie wersji protokołu, więc nawet jeśli przeglądarka spróbuje użyć protokołu TLS, zostanie zmuszona do używania protokołu SSL. Jedyną odpowiedzią dla obu stron lub obu stron jest usunięcie obsługi protokołu SSL, co wyklucza możliwość obniżenia oceny.
Jeśli głównie przeglądasz z domu i nie korzystasz z publicznych hotspotów, prawdopodobieństwo uszkodzenia jest dość niskie i możesz po prostu zrobić proste kroki opisane w dalszej części artykułu, aby chronić siebie. Jeśli często korzystasz z publicznego hotspotu, być może nadszedł czas, aby pomyśleć o korzystaniu z VPN.
Ponieważ nie ma sposobu na rozwiązanie problemów z SSL, jedynym rozwiązaniem dla twórców przeglądarek i serwerów WWW jest aktualizacja wszystkiego, aby usunąć obsługę SSL i wymagać tylko szyfrowania TLS.
Google i Firefox już ogłosili, że w przyszłości będą usuwać pomoc techniczną, a chociaż my (jeszcze) nie słyszeliśmy tego samego od Microsoftu, niezwykle łatwo jest użytkownikowi końcowemu wyłączyć SSL 3.0 w IE. Większość dużych firm internetowych usuwa obsługę SSL po ujawnieniu tego problemu, ale każdemu to zajmie chwilę.
Jako konsument możesz usunąć obsługę SSL z przeglądarki, korzystając z jednej z metod opisanych poniżej - lub jeśli używasz przeglądarki Firefox lub Google Chrome i nie korzystasz z hotspotów przez cały czas, możesz poczekać, aż zaktualizują przeglądarkę. Możesz też upewnić się, że samodzielnie rozwiązałeś problem.
Jeśli jesteś użytkownikiem Mozilla Firefox, twoje obawy związane z SSL 3.0 zostaną umieszczone w łóżku 25 listopada 2014 roku, kiedy Fireox 34 zostanie wydany. Jedyny problem polega na tym, że nie jest to jeszcze listopad i musisz podjąć działania, aby chronić siebie teraz. Zacznij od otwarcia przeglądarki Firefox i przejścia do strony pobierania kontroli wersji SSL w Firefoksie.
Po pomyślnym zainstalowaniu możesz wpisać "about: addons" w pasku nawigacji i wybrać rozszerzenie "Kontrola wersji SSL". Możesz kliknąć "Opcje", aby zobaczyć ustawienia dla rozszerzenia. Upewnij się, że "Automatyczne aktualizacje" są włączone i że "Minimalna wersja SSL" jest ustawiona na "TLS 1.0"
Po wydaniu Firefoksa 34 możesz go wyłączyć lub odinstalować.
Jeśli jesteś użytkownikiem przeglądarki Google Chrome, możesz być pewny, że SSL 3.0 zostanie wyłączony w nadchodzących miesiącach, chociaż nie ustawił jeszcze daty. Jeśli chcesz się teraz chronić, możesz to zrobić w kilku prostych krokach. Po prostu przejdź do swojej ikony pulpitu Google Chrome i kliknij ją prawym przyciskiem myszy, a następnie wybierz "Właściwości" u dołu menu podręcznego.
W oknie "Właściwości" pojawi się pole wprowadzania tekstu z napisem "Cel". Wystarczy kliknąć to pole i nacisnąć przycisk "Zakończ" na klawiaturze. Następnie naciśnij "Spację" i skopiuj i wklej ten tekst na końcu.
--ssl-version-min = tls1
Naciśnij "Zastosuj", a następnie kliknij "Kontynuuj" w wyskakującym okienku, a następnie naciśnij "OK".
Teraz Twoja przeglądarka automatycznie odrzuci certyfikaty SSL 3.0 i zaakceptuje tylko TLS 1.0 i nowsze wersje. Warto zauważyć, że jeśli uruchomisz Chrome za pomocą dowolnego innego skrótu na komputerze, nie będzie on używać tej flagi.
Microsoft nie ogłosił jeszcze, kiedy planuje rozwiązać problem z SSL 3.0, więc najlepiej jest go wyłączyć samodzielnie, otwierając menu "Start" i wpisując "Opcje internetowe".
Przejdź na kartę "Zaawansowane" i przewiń w dół do sekcji "Zabezpieczenia", aż zobaczysz opcje SSL i TLS, a następnie odznacz opcję Użyj SSL 3.0 i włącz zamiast tego TLS.
W ten sposób możesz mieć pewność, że twoje przeglądarki internetowe są bezpieczne od wszelkich potencjalnych ataków POODLE.
Image Credit: Karen on Flickr