Kāda ir POODLE ievainojamība un kā jūs varat sevi aizsargāt?
Ir grūti apturēt mūsu prātus visu šo interneta katastrofu gadījumos, kad tie notiek, un tāpat kā mēs domājām, ka internets atkal bija drošs pēc Heartbleed un Shellshock draudot „izbeigt dzīvi, kā mēs to zinām,” nāk POODLE.
Nesaņem pārāk strādāt, jo tas nav tik bīstami, kā tas izklausās. Patiesība ir tāda, ka tas ir jautājums, uz kuru attiecas, bet ir vienkārši soļi, ko varat veikt, lai sevi aizsargātu.
Kas ir POODLE?
Sāksim pirmajā stāvā. Kas ir POODLE? Pirmkārt, tas nozīmē “Aptumšošana ar Oracle par pazeminātu kodēšanas šifrēšanu.“Drošības jautājums ir tieši tas, ko norāda nosaukums, protokola pazemināšana, kas ļauj ekspluatēt novecojušu šifrēšanas veidu. Šajā mēnesī šī problēma nonāca pasaules uzmanības centrā, kad Google izlaida papīru ar nosaukumu “Šis POODLE kodums: SSL 3.0 Fallback izmantošana”.
Lai to izskaidrotu vienkāršākos nosacījumos, ja uzbrucējs, kas izmanto vidusmēra uzbrukumu, var kontrolēt maršrutētāju publiskā tīklā, viņi var piespiest pārlūkprogrammu samazināt SSL 3.0 (vecāku protokolu), nevis izmantot daudz modernāku TLS (Transport Layer Security) un pēc tam izmantojiet SSL drošības caurumu, lai nolaupītu pārlūkprogrammas sesijas. Tā kā šī problēma ir protokolā, tas viss ietekmē SSL.
Kamēr gan serveris, gan klients (tīmekļa pārlūkprogramma) atbalsta SSL 3.0, uzbrucējs var piespiest protokolu pazemināt, tāpēc, pat ja jūsu pārlūkprogramma mēģina izmantot TLS, tā beidzot ir spiesta izmantot SSL. Vienīgā atbilde ir abām pusēm vai abām pusēm, lai novērstu SSL atbalstu, novēršot iespēju tikt pazeminātam.
Ja jūs galvenokārt pārlūkojat no mājām un neizmantojat publiskos karstos punktus, kaitējuma potenciāls ir diezgan zems, un jūs varat vienkārši veikt vienkāršus soļus, kas izklāstīti vēlāk rakstā, lai aizsargātu sevi. Ja bieži izmantojat publisko hotspot, var būt laiks domāt par VPN izmantošanu.
Kā mēs varam atrisināt problēmu?
Tā kā nav iespējams atrisināt problēmas ar SSL, vienīgais risinājums ir pārlūkprogrammu veidotājiem un tīmekļa serveriem, lai uzlabotu visu, lai noņemtu SSL atbalstu un pieprasa tikai TLS šifrēšanu.
Google un Firefox jau ir paziņojuši, ka nākotnē tie noņems atbalstu, un, kamēr mēs neesam (vēl) to dzirdējuši no Microsoft, tas ir ļoti vienkārši kā galalietotājs, lai atspējotu SSL 3.0 IE. Lielākā daļa lielo tīmekļa kompāniju noņem SSL atbalstu pēc šīs problēmas atklāšanas, bet tas prasīs kādu laiku, lai visi to izdarītu.
Kā patērētājs varat noņemt SSL atbalstu no jūsu pārlūkprogrammas, izmantojot kādu no tālāk izklāstītajām metodēm - vai, ja izmantojat Firefox vai Google Chrome un neizmantojat karstos punktus visu laiku, jūs varat gaidīt, kamēr tie atjauninās pārlūkprogrammu. Vai arī jūs varat pārliecināties, ka problēma ir atrisināta pats.
SSL 3.0 atspējošana Mozilla Firefox
Ja esat Mozilla Firefox lietotājs, jūsu SSL 3.0 bažas tiks nodotas gultā 2014. gada 25. novembrī, kad tiek izlaists Fireox 34. Viena no problēmām ir tā, ka tā vēl nav novembris, un jums ir jārīkojas, lai aizsargātu sevi tagad. Sāciet, atverot pārlūkprogrammu Firefox un dodoties uz SSL versijas kontroles lejupielādes lapu Firefox.
Kad tas ir veiksmīgi instalēts, navigācijas joslā varat ievadīt “about: addons” un atlasīt paplašinājumu “SSL Version Control”. Jūs varat noklikšķināt uz opcijas "Opcijas", lai skatītu paplašinājuma iestatījumus. Pārliecinieties, vai ir ieslēgti „Automātiskie atjauninājumi” un ka “Minimālā SSL versija” ir iestatīta uz “TLS 1.0”
Pēc Firefox 34 izlaišanas jūs varat justies brīvi atspējot paplašinājumu vai atinstalēt to.
SSL 3.0 atspējošana Google Chrome
Ja esat Google Chrome lietotājs, varat būt drošs, ka nākamajos mēnešos SSL 3.0 tiks atspējots, lai gan vēl nav iestatīts datums. Ja jūs tagad vēlaties sevi aizsargāt, to var izdarīt dažos vienkāršos soļos. Vienkārši dodieties uz Google Chrome darbvirsmas ikonu un ar peles labo pogu noklikšķiniet uz tā, pēc tam uznirstošās izvēlnes apakšā atlasiet “Properties”.
Logā “Properties” redzēsiet teksta ievades lodziņu, kurā teikts “Target”. Vienkārši noklikšķiniet šajā lodziņā un nospiediet tastatūras pogu „End”. Pēc tam nospiediet „atstarpes taustiņu” un kopējiet un ielīmējiet šo tekstu galā.
--ssl-version-min = tls1
Nospiediet “Apply”, tad uznirstošajā logā noklikšķiniet uz “Continue” un pēc tam nospiediet “OK”.
Tagad jūsu pārlūkprogramma automātiski noraidīs SSL 3.0 sertifikātus un pieņems tikai TLS 1.0 un jaunāku versiju. Ir vērts atzīmēt, ka, palaižot Chrome, izmantojot jebkuru citu saīsni datorā, tas neizmanto šo karodziņu.
SSL 3.0 atspējošana programmā Internet Explorer
Microsoft vēl nav paziņojusi, kad plāno risināt SSL 3.0 problēmu, tāpēc vislabāk ir to atspējot pats, atverot izvēlni “Start” un ierakstot “Internet Options”.
Atveriet cilni “Papildu” un ritiniet uz leju līdz sadaļai “Drošība”, līdz redzat SSL un TLS opcijas, un pēc tam atceliet izvēles rūtiņu Lietot SSL 3.0 un iespējojiet TLS.
Tādā veidā jūs varat būt pārliecināti, ka jūsu interneta pārlūkprogrammas ir drošas no jebkādiem potenciāliem POODLE uzbrukumiem.
Attēla kredīts: Karen par Flickr