Kakšna je ranljivost in kako se lahko zaščitite?
Težko je oviti naše misli okoli vseh teh internetnih katastrof, kot se pojavijo, in prav tako, kot smo mislili, da je internet spet varen, potem ko so Heartbleed in Shellshock grozili, da bodo »končali življenje, kot ga poznamo«, prihaja POODLE.
Ne bodite preveč pripravljeni, ker ni tako grozno, kot se sliši. Resnica je, da je to vprašanje, ki ga je treba ukvarjati, vendar lahko preprosto ukrepate, da se zaščitite.
Kaj je POODLE?
Začnimo v pritličju. Kaj je POODLE? Najprej, pomeni »Nadgradnja Oracle na nižjo stopnjo šifriranja.Varnostna težava je natanko to, kar ime nakazuje, znižanje protokola, ki omogoča izkoriščanje zastarele oblike šifriranja. Vprašanje je prišlo na svetovno pozornost v tem mesecu, ko je Google izdal dokument z naslovom "Ta POODLE Bites: Izkoriščanje SSL 3,0 Fallback".
Če to preprosteje pojasnimo, lahko napadalec, ki uporablja napad Man-In-The-Middle, prevzame nadzor nad usmerjevalnikom na javni dostopni točki, zato lahko brskalnik preusmeri na SSL 3.0 (starejši protokol), namesto da uporabi precej bolj moderno TLS (Transport Layer Security), nato pa izkoristi varnostno luknjo v SSL, da ugrabite svoje seje brskalnika. Ker je ta težava v protokolu, to vpliva na vse, kar uporablja SSL.
Dokler strežnik in odjemalec (spletni brskalnik) podpirajo SSL 3.0, lahko napadalec prisili na znižanje v protokolu, tako da tudi, če vaš brskalnik poskuša uporabiti TLS, postane namesto tega prisiljen uporabiti SSL. Edini odgovor je, da katera koli stran ali obe strani odstranita podporo za SSL, pri čemer odpravi možnost znižanja ocene.
Če primarno brskate od doma in ne uporabljate javnih vročih točk, je potencialna škoda precej nizka in lahko naredite preproste korake, opisane v nadaljevanju članka, da se zaščitite. Če pogosto uporabljate javno dostopno točko, je morda čas, da razmislite o uporabi navideznega zasebnega omrežja.
Kako rešiti problem?
Ker ni mogoče rešiti težav s protokolom SSL, je edina rešitev, da izdelovalci brskalnikov in spletni strežniki nadgradijo vse, da odstranijo podporo za SSL in zahtevajo samo šifriranje TLS.
Google in Firefox sta že napovedala, da bosta v prihodnosti odstranila podporo, in čeprav tega še nismo slišali od Microsofta, je kot končni uporabnik zelo enostavno onemogočiti SSL 3.0 v IE. Večina velikih spletnih podjetij odpravlja podporo za SSL, potem ko se je ta težava pojavila, vendar pa bo trajalo nekaj časa, da to storijo vsi.
Kot potrošnik lahko odstranite podporo za SSL iz brskalnika z eno od spodaj opisanih metod - ali če uporabljate Firefox ali Google Chrome in ne uporabljate vročih točk ves čas, lahko počakate, da posodobijo brskalnik. Ali pa se prepričajte, da ste težavo odpravili sami.
Onemogočanje SSL 3.0 v brskalniku Mozilla Firefox
Če ste uporabnik Mozilla Firefoxa, bo vaša skrb za SSL 3.0 postavljena v posteljo 25. novembra 2014, ko bo izdan Fireox 34. \ t Eden od težav pri tem je, da še ni november in da morate zdaj ukrepati, da se zaščitite. Začnite tako, da odprete brskalnik Firefox in se pomaknete na stran za prenos za nadzor različic SSL v brskalniku Firefox.
Ko ga uspešno namestite, lahko v navigacijsko vrstico vnesete »about: addons« in izberete »SSL Version Control«. Za ogled nastavitev razširitve lahko kliknete na »Možnosti«. Zagotovite, da so vklopljene »Samodejne posodobitve« in da je »Najmanjša različica SSL« nastavljena na »TLS 1.0«
Ko je Firefox 34 izdan, lahko prosto nastavitev onemogočite ali jo odstranite.
V brskalniku Google Chrome onemogočite SSL 3.0
Če ste uporabnik brskalnika Google Chrome, ste lahko prepričani, da bo SSL 3.0 v naslednjih mesecih onemogočen, čeprav še niso določili datuma. Če se želite zdaj zaščititi, je to mogoče narediti v nekaj preprostih korakih. Preprosto pojdite na namizno ikono Google Chrome in jo kliknite z desno miškino tipko, nato na dnu pojavnega menija izberite »Lastnosti«.
V oknu »Lastnosti« boste videli polje za vnos besedila, v katerem piše »Target«. Preprosto kliknite v to polje in pritisnite gumb »End« na tipkovnici. Nato pritisnite »Preslednica« in kopirajte in prilepite to besedilo na konec.
--ssl-version-min = tls1
Pritisnite »Uporabi« in nato v pojavnem oknu kliknite »Nadaljuj« in pritisnite »V redu«.
Zdaj bo vaš brskalnik samodejno zavrnil potrdila SSL 3.0 in sprejel le TLS 1.0 ali višje. Treba je omeniti, da če zaženete Chrome prek katere koli druge bližnjice v računalniku, ta oznaka ne bo uporabljena.
V Internet Explorerju onemogočite SSL 3.0
Microsoft še ni objavil, kdaj namerava obravnavati vprašanje SSL 3.0, zato je najbolje, da ga sami onemogočite, tako da odprete meni »Start« in vnesete »Internetne možnosti«.
Pojdite na zavihek »Napredno« in se pomaknite navzdol do razdelka »Varnost«, dokler ne vidite možnosti SSL in TLS, nato pa odstranite potrditev možnosti Uporabi SSL 3.0 in namesto tega omogočite TLS.
Tako ste lahko prepričani, da so vaši internetni brskalniki varni pred morebitnimi napadi POODLE.
Zasluge za sliko: Karen na Flickru