Mis on POODLE haavatavus ja kuidas ennast kaitsta?
On raske kõike nende Internetikatastroofide ümber mähkida, ja nagu me arvasime, et Internet oli jälle turvaline pärast Heartbleedi ja Shellshocki ähvardamist „lõpetada elu, nagu me seda teame,“ tuleb POODLE.
Ärge liiga kiiresti töötage, sest see ei ole nii ähvardav kui see kõlab. Tõde on see, et tegemist on küsimusega, kuid on olemas lihtsad sammud, mida saate enda kaitseks.
Mis on POODLE?
Alustame esimesel korrusel. Mis on POODLE? Kõigepealt tähistab see „Oracle'i lisamine vananenud krüpteeringule.Turvalisuse probleem on täpselt see, mida nimigi ütleb, protokolli alandamine, mis võimaldab ära kasutada vananenud krüpteerimise vormi. Probleem tuli maailma tähelepanu sellel kuul, kui Google avaldas paberi nimega „See POODLE Bites: SSL 3.0 Fallback'i kasutamine”.
Lihtsamates tingimustes selle selgitamiseks, kui ründaja, kes kasutab keset rünnakut, võib juhtida ruuterit avalikus hotspotis, võivad nad sundida teie brauserit kasutama SSL 3.0 (vanem protokoll) asemel. palju kaasaegsemaid TLS-i (Transport Layer Security) ja seejärel kasutage SSL-i turvaaugust, et oma brauseri istungid kaaperdada. Kuna see probleem on protokollis, mõjutab see kõike, mis kasutab SSL-i.
Niikaua kui nii server kui klient (veebibrauser) toetavad SSL 3.0-d, võib ründaja protokollis alandada, nii et isegi kui teie brauser üritab kasutada TLS-i, on see sunnitud kasutama SSL-i. Ainus vastus on kas mõlemale poolele või mõlemale poolele, et eemaldada SSL-i toetus, eemaldades võimaluse alandada.
Kui te sirvite peamiselt kodust ja ei kasuta avalikke levialaid, on kahju võimalikkus üsna väike ja te võite lihtsalt võtta artiklis kirjeldatud hilisemaid samme, et ennast kaitsta. Kui kasutate sageli avalikku võrgupunkti, võib olla aeg mõelda VPN-i kasutamisele.
Kuidas me probleemi lahendame?
Kuna SSLiga seotud probleeme ei ole võimalik lahendada, on ainsaks lahenduseks brauseri tegijad ja veebiserverid, et täiustada kõike, et eemaldada SSL-i tugi ja nõuda ainult TLS-i krüpteerimist.
Google ja Firefox on juba teatanud, et nad eemaldavad toetuse tulevikus, ja kuigi me ei ole (veel) sama kuulnud Microsoftilt, on see äärmiselt lihtne lõppkasutajana keelata SSL 3.0 IE-s. Enamik suuri veebifirmasid eemaldavad SSL-i toetused pärast seda, kui see probleem ilmnes, kuid see võtab aega, kuni kõik seda teevad.
Tarbijana saate eemaldada SSL-i tugi oma brauserist, kasutades ühte allpool kirjeldatud meetoditest - või kui kasutate Firefoxi või Google Chrome'i ja te ei kasuta kogu aeg levialasid, võite oodata, kuni nad brauserit värskendavad. Või võite veenduda, et olete probleemi ise lahendanud.
SSL 3.0 keelamine Mozilla Firefoxis
Kui te olete Mozilla Firefoxi kasutaja, pannakse teie SSL 3.0 mure 25. novembril 2014, kui Fireox 34 vabastatakse. Selle probleemiks on see, et see ei ole veel november ja te peate end kohe kaitsma. Alustage oma Firefoxi brauseri avamisega ja navigeerige Firefoxi SSL-i versioonikontrolli allalaadimise lehele.
Kui see on edukalt installitud, saate navigeerimisribale sisestada “about: addons” ja valida laienduse “SSL Version Control”. Laienduse seadete vaatamiseks võite klõpsata valikul „Valikud”. Veenduge, et automaatsed värskendused on sisse lülitatud ja et „Minimaalne SSL-versioon” on seatud väärtusele „TLS 1.0”
Pärast Firefox 34 vabastamist võite vabalt keelata laienduse või selle eemaldada.
SSL 3.0 keelamine Google Chrome'is
Kui olete Google Chrome'i kasutaja, võite olla kindel, et SSL 3.0 keelatakse järgmistel kuudel, kuigi nad ei ole veel kuupäeva määranud. Kui soovite ennast nüüd kaitsta, saab seda teha mõne lihtsa sammuga. Lihtsalt minge oma Google Chrome'i töölaua ikoonile ja paremklõpsake seda, seejärel valige hüpikmenüü allosas "Properties".
Aknas "Properties" näete tekstisisestuskasti, mis ütleb: "Target". Klõpsake lihtsalt sellel kasti ja vajutage klaviatuuril nuppu "End". Seejärel vajuta “Spacebar” ja kopeeri see tekst lõpuni.
--ssl-version-min = tls1
Vajutage „Apply“ ja seejärel klõpsake hüpikaknas “Continue” ja seejärel vajutage “OK”.
Nüüd keelab teie brauser SSL 3.0 sertifikaadid automaatselt ja aktsepteerib ainult TLS 1.0 ja uuemaid. Väärib märkimist, et kui käivitate Chrome'i mõne muu arvuti otseteega, siis seda ei kasutata.
SSL 3.0 keelamine Internet Exploreris
Microsoft ei ole veel teatanud, millal nad kavatsevad SSL 3.0-probleemi lahendada, nii et see on kõige parem keelata see ise, avades menüü „Start” ja kirjutades “Internet Options”.
Minge vahekaardile „Täpsem“ ja liikuge allapoole jaotise „Turvalisus“ all, kuni näete SSL- ja TLS-suvandeid ning seejärel tühistage suvand Kasuta SSL 3.0 ja lubage selle asemel TLS.
Nii saate olla kindel, et teie Interneti-brauserid on kõik võimalikud POODLE-rünnakud kaitstud.
Krediitkaart: Karen Flickris