Kas yra POODLE pažeidžiamumas ir kaip galite apsaugoti save?
Sunku suvynioti mūsų protus apie visas šias interneto katastrofas, kai jos atsiranda, ir, kaip manėme, internetas vėl buvo saugus po „Heartbleed“ ir „Shellshock“ grasinimo „baigti gyvenimą, kaip mes tai žinome“..
Neskubėkite, nes jis nėra toks grėsmingas, kaip atrodo. Tiesa ta, kad tai yra klausimas, su kuriuo reikia susirūpinti, tačiau yra paprastų veiksmų, kuriuos galite imtis, kad apsaugotumėte save.
Kas yra POODLE?
Pradėkime pirmame aukšte. Kas yra POODLE? Pirmiausia, jis reiškia „„Oracle“ užpakalinio šifravimo užpildymas.„Saugumo problema yra būtent tai, ką siūlo pavadinimas, protokolo sumažinimas, leidžiantis išnaudoti pasenusią šifravimo formą. Šį mėnesį problema atėjo į pasaulio dėmesį, kai „Google“ išleido „POODLE Bites: SSL 3.0 Fallback“ naudojimo dokumentą.
Jei norite tai paaiškinti paprastesniais terminais, jei užpuolikas, naudodamas „vidurio“ ataką, gali kontroliuoti maršrutizatorių viešame tinklo taške, jie gali priversti naršyklę nukreipti į SSL 3.0 (senesnį protokolą), o ne naudoti daug modernesnis TLS (Transporto sluoksnio saugumas), o tada naudokite SSL saugos skylę, kad galėtumėte užgrobti naršyklės sesijas. Kadangi ši problema yra protokole, tai paveikia viską, kas naudoja SSL.
Tol, kol tiek serveris, tiek klientas (žiniatinklio naršyklė) palaiko SSL 3.0, užpuolikas gali priversti protokolą sumažinti, todėl net jei jūsų naršyklė bando naudoti TLS, vietoj to jis bus priverstas naudoti SSL. Vienintelis atsakymas yra abiejų pusių ar abiejų pusių, kad pašalintų SSL palaikymą, pašalinant galimybę ją sumažinti.
Jei pirmiausia naršote iš namų ir nenaudojate viešųjų karštųjų taškų, žalos tikimybė yra gana maža, todėl galite paprasčiausiai imtis paprastų žingsnių, kurie vėliau aprašyti straipsnyje, kad apsaugotumėte save. Jei dažnai naudojate viešą interneto tašką, gali būti laikas pagalvoti apie VPN naudojimą.
Kaip mes galime išspręsti šią problemą?
Kadangi nėra galimybės išspręsti SSL problemų, vienintelis sprendimas yra naršyklės kūrėjams ir žiniatinklio serveriams atnaujinti viską, kad pašalintumėte SSL palaikymą, ir reikia tik TLS šifravimo.
„Google“ ir „Firefox“ jau paskelbė, kad ateityje parama bus pašalinta, o nors mes dar (ne) išgirdome tą patį iš „Microsoft“, tai labai lengva kaip galutinį vartotoją išjungti SSL 3.0 IE. Dauguma didelių žiniatinklio kompanijų pašalina SSL paramą po šios problemos atskleidimo, tačiau tai užtruks, kol visi tai padarys.
Kaip vartotojas galite pašalinti SSL palaikymą iš savo naršyklės naudodami vieną iš toliau pateiktų metodų - arba jei naudojate „Firefox“ arba „Google Chrome“ ir nenaudojate karštųjų taškų visą laiką, galite palaukti, kol jie atnaujins naršyklę. Arba galite įsitikinti, kad pats problemą nustatėte.
„SSL 3.0“ išjungimas „Mozilla Firefox“
Jei esate „Mozilla Firefox“ vartotojas, jūsų SSL 3.0 problemos bus išleistos 2014 m. Lapkričio 25 d., Kai bus išleistas „Fireox 34“. Viena su tuo susijusi problema yra ta, kad ji dar nėra lapkričio mėn. Ir jums reikia imtis veiksmų, kad apsisaugotumėte dabar. Pradėkite atidarydami „Firefox“ naršyklę ir naršydami į „Firefox“ SSL versijos valdymo atsisiuntimo puslapį.
Sėkmingai įdiegus „navigacijos juostą“ galite įvesti „about: addons“ ir pasirinkti „SSL Version Control“ plėtinį. Galite spustelėti „Parinktys“, kad pamatytumėte plėtinio nustatymus. Įsitikinkite, kad „Automatiniai atnaujinimai“ yra įjungti ir kad „Minimali SSL versija“ yra „TLS 1.0“
Atleidus „Firefox 34“, galite laisvai išjungti plėtinį arba jį pašalinti.
„SSL 3.0“ išjungimas „Google Chrome“
Jei esate „Google Chrome“ vartotojas, galite būti tikri, kad SSL 3.0 bus išjungtas artimiausiais mėnesiais, nors jie dar nenustatė datos. Jei norite dabar apsisaugoti, tai galima padaryti keliais paprastais žingsniais. Tiesiog eikite į „Google Chrome“ darbalaukio piktogramą ir dešiniuoju pelės klavišu spustelėkite, tada iškylančiojo meniu apačioje pasirinkite „Ypatybės“.
„Properties“ lange pamatysite teksto įvesties laukelį, kuriame yra „Target“. Tiesiog spustelėkite šį langelį ir paspauskite klaviatūros mygtuką „End“. Tada paspauskite „Tarpo klavišą“ ir nukopijuokite ir įklijuokite šį tekstą ant galo.
--ssl-version-min = tls1
Paspauskite „Apply“, tada iškylančiame lange spustelėkite „Continue“, tada paspauskite „OK“.
Dabar jūsų naršyklė automatiškai atmes SSL 3.0 sertifikatus ir priims tik TLS 1.0 ir naujesnius. Verta pažymėti, kad jei paleisite „Chrome“ per bet kurį kitą nuorodą kompiuteryje, jis nenaudos šios vėliavos.
SSL 3.0 išjungimas „Internet Explorer“
„Microsoft“ dar nepranešė, kada planuoja spręsti SSL 3.0 problemą, todėl geriausia išjungti ją, atidarydami meniu „Pradėti“ ir įvesdami „Interneto parinktys“.
Eikite į skirtuką „Išplėstinė“ ir slinkite žemyn iki „Saugumo“ skilties, kol pamatysite SSL ir TLS parinktis, tada panaikinkite parinktį „Naudoti SSL 3.0“ ir įjunkite TLS.
Tokiu būdu jūs galite būti tikri, kad jūsų interneto naršyklės yra apsaugotos nuo bet kokių POODLE atakų.
Vaizdo kreditas: Karen Flickr