Mikä on POODLE-haavoittuvuus ja miten voit suojata itseäsi?
On vaikeaa kääriä mielemme kaikkien näiden Internet-katastrofien ympärille, ja kun ajattelimme, että Internet oli jälleen turvallinen Heartbleedin ja Shellshockin jälkeen uhkailemalla "lopettaa elämän, kuten tiedämme", tulee POODLE.
Älä päästä liian pitkälle, koska se ei ole niin uhkaavaa kuin se kuulostaa. Totuus on, että se on huolenaihe, mutta on olemassa yksinkertaisia toimia, joita voit tehdä itsesi turvaamiseksi.
Mikä on POODLE?
Aloitetaan pohjakerroksessa. Mikä on POODLE? Ensinnäkin se tarkoittaa "Oracle-pakkauksen vanhentaminen vanhemmalla salauksella.”Turvallisuusongelma on juuri sitä, mitä nimestä voi päätellä, protokollan alennus, joka sallii hyödyntämisen vanhentuneessa salauksen muodossa. Ongelma tuli maailman huomion mukaan tässä kuussa, kun Google julkaisi paperin nimeltä "Tämä POODLE-purra: SSL 3.0 -palautuksen hyödyntäminen".
Jos haluat selittää tämän yksinkertaisemmin, jos hyökkääjä, joka käyttää keski-iskun hyökkäystä, voi hallita reititintä julkisessa hotspotissa, he voivat pakottaa selaimesi laskemaan SSL 3.0: n (vanhemman protokollan) sijasta sen sijaan, että käytät paljon nykyaikaisempi TLS (Transport Layer Security) ja käytä sitten SSL-suojausaukkoa selaimen istuntojen kaappaamiseksi. Koska tämä ongelma on protokollassa, kaikki se, joka käyttää SSL: ää, vaikuttaa siihen.
Niin kauan kuin sekä palvelin että asiakas (web-selain) tukevat SSL 3.0: ta, hyökkääjä voi pakottaa protokollan alennuksen, joten vaikka selaimesi yrittää käyttää TLS: ää, se joutuu pakotetuksi käyttämään SSL: ää. Ainoa vastaus on, että molemmat puolet tai molemmat puolet poistavat SSL: n tuen, poistamalla mahdollisuuden alentaa sitä.
Jos selaat ensisijaisesti kotoa ja et käytä julkisia hotspotteja, vaurioiden mahdollisuudet ovat melko alhaiset, ja voit vain ottaa artikkelin myöhemmät vaiheet suojataaksesi itsesi. Jos käytät usein julkista hotspotia, voi olla aika miettiä VPN: n käyttöä.
Miten voimme ratkaista ongelman?
Koska SSL: n ongelmia ei voida ratkaista, ainoa ratkaisu on, että selaimen päättäjät ja web-palvelimet päivittävät kaiken SSL-tuen poistamiseksi ja edellyttävät vain TLS-salausta.
Google ja Firefox ovat jo ilmoittaneet, että ne poistavat tuen tulevaisuudessa, ja vaikka emme ole vielä kuulleet samaa Microsoftista, se on äärimmäisen helppoa loppukäyttäjänä poistaa SSL 3.0 IE: stä. Suurin osa suurista web-yrityksistä poistaa SSL: n tukea sen jälkeen, kun tämä ongelma on tullut esiin, mutta se kestää jonkin aikaa..
Kuluttajana voit poistaa SSL-tuen selaimestasi jollakin seuraavista menetelmistä - tai jos käytät Firefoxia tai Google Chromea ja et käytä koko ajan hotspotteja, voit odottaa, että ne päivittävät selaimen. Tai voit varmistaa, että olet korjata ongelman itse.
SSL 3.0: n poistaminen käytöstä Mozilla Firefoxissa
Jos olet Mozilla Firefox -käyttäjä, SSL 3.0 -ongelmasi tulee nukkumaan 25. marraskuuta 2014, kun Fireox 34 julkaistaan. Yksi ongelma on se, että se ei ole vielä marraskuu, ja sinun on ryhdyttävä toimiin suojellaksesi itseäsi nyt. Aloita avaamalla Firefox-selain ja siirtymällä Firefoxin SSL-versionhallinnan lataussivulle.
Kun se on asennettu onnistuneesti, voit syöttää navigointipalkkiin “about: addons” ja valita ”SSL Version Control” laajennuksen. Näet laajennuksen asetukset napsauttamalla Asetukset. Varmista, että ”Automaattiset päivitykset” ovat päällä ja että ”Minimi SSL-versio” on ”TLS 1.0”
Kun Firefox 34 on julkaistu, voit poistaa laajennuksen käytöstä tai poistaa sen käytöstä.
SSL 3.0: n poistaminen käytöstä Google Chromessa
Jos olet Google Chromen käyttäjä, voit olla varma, että SSL 3.0 poistetaan käytöstä tulevina kuukausina, vaikka he eivät ole vielä asettaneet päivämäärää. Jos haluat suojata itsesi nyt, se voidaan tehdä muutamalla yksinkertaisella askeleella. Siirry Google Chrome -työpöydän kuvakkeeseen ja napsauta sitä hiiren kakkospainikkeella ja valitse ponnahdusvalikon alaosassa "Ominaisuudet".
"Ominaisuudet" -ikkunassa näkyy tekstinsyöttölaatikko, joka sanoo "Kohde". Napsauta vain tätä ruutua ja paina näppäimistön "Lopeta" -painiketta. Paina seuraavaksi ”Välilyönti” ja kopioi ja liitä tämä teksti loppuun.
--SSL-versio-min = tls1
Paina “Käytä” ja napsauta sitten ”Jatka” ponnahdusikkunassa ja paina sitten “OK”.
Nyt selaimesi hylkää automaattisesti SSL 3.0 -sertifikaatit ja hyväksyy vain TLS 1.0 ja uudemmat. On syytä huomata, että jos käynnistät Chromeen jonkin muun pikakuvakkeen avulla, se ei käytä tätä lippua.
SSL 3.0: n poistaminen käytöstä Internet Explorerissa
Microsoft ei ole vielä ilmoittanut, kun he aikovat käsitellä SSL 3.0 -ongelmia, joten on parasta poistaa se itse avaamalla ”Käynnistä” -valikko ja kirjoittamalla ”Internet-asetukset”.
Siirry Lisäasetukset-välilehdelle ja siirry alaspäin Suojaus-osaan, kunnes näet SSL- ja TLS-asetukset, ja poista sitten Käytä SSL 3.0 -asetusta ja ota TLS käyttöön.
Näin voit olla varma, että Internet-selaimet ovat kaikki suojattuja mahdollisilta POODLE-hyökkäyksiltä.
Kuvaluotto: Karen Flickrissä