Mi a POODLE biztonsági rése és hogyan védheti meg magát?
Nehéz ezeket az internetes katasztrófákat körülzárni, ahogyan előfordulnak, és ahogyan azt gondoltuk, hogy az internet ismét biztonságossá válik a Heartbleed és a Shellshock után, azzal a fenyegetéssel, hogy „véget vet az életnek, amint tudjuk”, jön POODLE.
Ne érts túl dolgozni, mert ez nem olyan fenyegető, mint amilyennek hangzik. Az igazság az, hogy egy olyan kérdés, amellyel foglalkozni kell, de vannak egyszerű lépések, amelyekkel megvédheted magad.
Mi az a POODLE?
Kezdjük a földszinten. Mi az a POODLE? Először is:Az Oracle letiltott örökölt titkosítás kitöltése.„A biztonsági kérdés pontosan az, amit a név sugall, egy protokoll leértékelődés, amely lehetővé teszi a kiaknázást egy elavult titkosítási formában. A probléma ebben a hónapban került a világ figyelmébe, amikor a Google kiadott egy „Ez a POODLE Bites: Az SSL 3.0 Fallback használata” című dokumentumot.
Egyszerűbb értelemben történő magyarázathoz, ha a Man-In-The-Middle támadást használó támadó nyilvános hotspot-on keresztül átveheti az irányítót, akkor kényszerítheti a böngészőt az SSL 3.0-ra (egy régebbi protokollra), ahelyett, hogy a sokkal modernebb TLS (Transport Layer Security), majd kiaknázza az SSL biztonsági nyílását a böngésző munkameneteinek megszakításához. Mivel ez a probléma a protokollban van, az SSL-t használó minden érintett.
Mindaddig, amíg mind a kiszolgáló, mind az ügyfél (webböngésző) támogatja az SSL 3.0-at, a támadó kényszerítheti a protokollt, így még akkor is, ha a böngészője megpróbálja használni a TLS-t, akkor végül az SSL használatára kényszerül. Az egyetlen válasz az, hogy mindkét oldalon vagy mindkét oldalon távolítsuk el az SSL támogatását, megszüntetve annak lehetőségét, hogy leértékeljék.
Ha elsődlegesen otthoni böngészést végez, és nem használja a nyilvános hotspotokat, akkor a károsodás lehetősége meglehetősen alacsony, és csak a cikkben később leírt egyszerű lépéseket megteszi, hogy megvédje magát. Ha gyakran használ egy nyilvános hotspotot, ideje elgondolkodni a VPN használatáról.
Hogyan oldhatjuk meg a problémát?
Mivel nem lehet megoldani az SSL problémáit, az egyetlen megoldás, ha a böngészők és a webszerverek mindent frissítenek az SSL támogatásának eltávolítására, és csak TLS titkosításra van szükségük.
A Google és a Firefox már bejelentette, hogy a jövőben megszünteti a támogatást, és bár (még) nem hallottuk ugyanezt a Microsoft-tól, rendkívül egyszerű, mint a végfelhasználó az SSL 3.0 letiltása az IE-ben. A nagy webes cégek többsége eltávolítja az SSL támogatását, miután ez a probléma megvilágult, de egy időbe telik, amíg mindenki ezt megteszi.
Fogyasztóként eltávolíthatja az SSL támogatását a böngészőjéből az alábbiakban ismertetett módszerek valamelyikével - vagy ha Firefoxot vagy Google Chrome-ot használ, és nem mindig használja a hotspotokat, akkor várhat arra, hogy frissítse a böngészőt. Vagy győződjön meg róla, hogy a problémát maga is rögzítette.
Az SSL 3.0 letiltása a Mozilla Firefoxban
Ha Mozilla Firefox felhasználó vagy, akkor az SSL 3.0 aggályai 2014. november 25-én lesznek lefeküdve, amikor a Fireox 34 kiadásra kerül. Ennek az az egyik problémája, hogy még nem november, és meg kell tennie, hogy megvédje magát. Kezdjük a Firefox böngésző megnyitásával és az SSL verzióvezérlő letölthető oldalával a Firefoxban.
A sikeres telepítés után a navigációs sávba beírhatja a „about: addons” szót, és kiválaszthatja az „SSL Version Control” kiterjesztést. A „Beállítások” gombra kattintva megtekintheti a bővítmény beállításait. Győződjön meg arról, hogy az „Automatikus frissítések” be van kapcsolva, és hogy a „Minimális SSL-verzió” beállítása „TLS 1.0”
A Firefox 34 megjelenése után szabadon letilthatja a kiterjesztést, vagy eltávolíthatja azt.
Az SSL 3.0 letiltása a Google Chrome-ban
Ha Ön Google Chrome felhasználó, biztos lehet benne, hogy az SSL 3.0 le lesz tiltva a következő hónapokban, bár még nem állítottak be dátumot. Ha most meg akarja védeni magát, néhány egyszerű lépésben megteheti. Egyszerűen látogasson el a Google Chrome asztali ikonjára, majd kattintson rá jobb egérgombbal, majd a felugró menü alján válassza a „Tulajdonságok” lehetőséget.
A „Tulajdonságok” ablakban egy szövegbeviteli mező jelenik meg, amely a „Cél” pontot tartalmazza. Egyszerűen kattintson erre a mezőre, és nyomja meg a „Vége” gombot a billentyűzeten. Ezután nyomja meg a „Szóköz” gombot, és másolja be és illessze be ezt a szöveget a végére.
--ssl-változat-min = TLS1
Nyomja meg az „Apply” gombot, majd kattintson a „Continue” gombra a felugró ablakban, majd nyomja meg az „OK” gombot.
Most a böngészője automatikusan elutasítja az SSL 3.0 tanúsítványokat, és csak a TLS 1.0 és újabb verziókat fogadja el. Érdemes megjegyezni, hogy ha a Chrome-ot bármely más parancsikon segítségével indítja el a számítógépen, akkor nem fogja használni ezt a zászlót.
Az SSL 3.0 letiltása az Internet Explorerben
A Microsoft még nem jelentette be, amikor tervezi az SSL 3.0 problémájának kezelését, ezért a legjobb, ha letiltja magát a „Start” menü megnyitásával és az „Internetbeállítások” beírásával.
Menjen a „Speciális” fülre, és görgessen lefelé a „Biztonság” részre, amíg meg nem jelenik az SSL és a TLS beállítások, majd jelölje be az SSL 3.0 használata opciót, és engedélyezze a TLS-t.
Így biztos lehet benne, hogy az internet böngészője minden lehetséges POODLE támadás ellen védett.
Képhitel: Karen a Flickr-en