Čo je to zraniteľnosť a ako sa môžeš chrániť?
Je ťažké zabaliť našu myseľ okolo všetkých týchto internetových katastrof tak, ako sa vyskytujú, a rovnako ako sme si mysleli, že internet je bezpečný znova po tom, čo Heartbleed a Shellshock hrozili, že "ukončí život, ako ho poznáme", prichádza POODLE.
Nechcem príliš prepracované, pretože to nie je tak hrozivé, ako to znie. Pravdou je, že je to problém, na ktorý sa chcete zaoberať, ale existujú jednoduché kroky, ktoré môžete podniknúť, aby ste sa ochránili.
Čo je POODLE?
Začnime v prízemí. Čo je POODLE? Najprv to znamená "Padanie Oracle na downgraded legacy šifrovanie."Problém s bezpečnosťou je presne to, čo naznačuje názov, downgrade protokolu, ktorý umožňuje zneužiť zastaranú formu šifrovania. Táto otázka prichádza do pozornosti sveta tento mesiac, keď spoločnosť Google vydala papier s názvom "Tento POODLE Bites: Využívanie SSL 3.0 Fallback".
Aby to bolo možné vysvetliť jednoduchšie, ak útočník, ktorý používa útok Man-In-The-Middle, môže prevziať kontrolu nad smerovačom na verejnom mieste prístupu, môže nútiť váš prehliadač k tomu, aby preradil na SSL 3.0 (starší protokol) namiesto použitia oveľa modernejšie TLS (Transport Layer Security) a potom využitie bezpečnostného otvoru v SSL na unášanie vašich relácií prehliadača. Keďže tento problém je v protokole, všetko, čo používa protokol SSL, je ovplyvnené.
Pokiaľ server a klient (webový prehliadač) podporujú protokol SSL 3.0, môže útočník vynútiť zníženie úrovne protokolu, takže aj keď sa váš prehliadač pokúša používať TLS, namiesto toho nútia používať SSL. Jedinou odpoveďou je odstránenie podpory pre SSL na oboch stranách alebo na oboch stranách, čím sa odstráni možnosť downgradovania.
Ak prechádzate predovšetkým z domu a nepoužívate verejné hotspoty, potenciál poškodenia je dosť nízky a môžete jednoducho urobiť jednoduché kroky uvedené nižšie v článku, aby ste sa ochránili. Ak často používate verejnú hotspot, môže byť čas premýšľať o používaní VPN.
Ako môžeme vyriešiť problém?
Keďže neexistuje žiadny spôsob, ako vyriešiť problémy s protokolom SSL, jediným riešením je, aby si výrobcovia prehliadačov a weboví servery vylepšili všetko na odstránenie podpory pre protokol SSL a vyžadovali len šifrovanie TLS.
Spoločnosti Google a Firefox už oznámili, že budú v budúcnosti odstraňovať podporu a zatiaľ čo sme to ešte nepočuli od spoločnosti Microsoft, je to veľmi jednoduché, pretože koncový používateľ zakáže protokol SSL 3.0 v IE. Väčšina veľkých webových spoločností odstráni podporu SSL po objavení tohto problému, ale bude to chvíľu trvať, kým to urobia všetci.
Ako zákazník môžete odstrániť podporu pre protokol SSL z prehliadača pomocou jednej z nižšie uvedených metód - alebo ak používate prehliadač Firefox alebo prehliadač Google Chrome a nepoužívate hotspoty po celú dobu, môžete čakať na aktualizáciu prehliadača. Alebo sa môžete ubezpečiť, že ste problém vyriešili sami.
Zakázanie protokolu SSL 3.0 v Mozille Firefox
Ak ste používateľom programu Mozilla Firefox, vaše obavy z SSL 3.0 sa posadí do postele 25. novembra 2014, kedy bude Fireox 34 prepustený. Jeden problém s tým je, že ešte nie je november a je potrebné podniknúť kroky na to, aby ste sa teraz chránili. Začnite otvorením prehliadača Firefox a prechodom na stránku na prevzatie verzie SSL vo Firefoxe.
Po úspešnom nainštalovaní môžete do navigačného panela zadať príkaz "About: addons" a vybrať príponu "SSL Version Control". Ak chcete zobraziť nastavenia rozšírenia, kliknite na položku Možnosti. Uistite sa, že sú zapnuté funkcie "Automatické aktualizácie" a či je "Minimálna verzia SSL" nastavená na hodnotu "TLS 1.0"
Po uvoľnení Firefoxu 34 máte možnosť bezplatne zakázať rozšírenie alebo ho odinštalovať.
Zakázanie protokolu SSL 3.0 v prehliadači Google Chrome
Ak ste používateľom prehliadača Google Chrome, môžete si byť istí, že SSL 3.0 bude v najbližších mesiacoch deaktivovaný, hoci ešte nenastavili dátum. Ak sa chcete teraz chrániť, môžete to urobiť niekoľkými jednoduchými krokmi. Jednoducho prejdite na ikonu pracovnej plochy prehliadača Google Chrome a kliknite na ňu pravým tlačidlom myši, potom v dolnej časti rozbaľovacej ponuky vyberte možnosť Vlastnosti.
V okne "Vlastnosti" uvidíte pole na zadávanie textu s názvom "Cieľ". Jednoducho kliknite na toto pole a stlačte tlačidlo "Koniec" na klávesnici. Potom stlačte medzerník a skopírujte a prilepte tento text na koniec.
--ssl-verzia-min = TLS1
Stlačte tlačidlo "Použiť" a potom kliknite na "Pokračovať" v rozbaľovacom okne a potom stlačte tlačidlo "OK".
Teraz váš prehliadač automaticky odmietne certifikáty SSL 3.0 a akceptuje iba TLS 1.0 a vyššie. Stojí za povšimnutie, že ak spustíte prehliadač Chrome prostredníctvom akejkoľvek inej skratky vo vašom počítači, tento príznak nebude používať.
Zakázanie protokolu SSL 3.0 v programe Internet Explorer
Spoločnosť Microsoft zatiaľ neoznámila, kedy plánuje riešiť problém s protokolom SSL 3.0, takže je najlepšie ju deaktivovať otvorením ponuky "Štart" a zadaním príkazu "Možnosti siete Internet".
Prejdite na kartu "Pokročilé" a prejdite nadol do sekcie Zabezpečenie, až kým sa nezobrazia možnosti SSL a TLS a potom zrušte začiarknutie možnosti Použiť protokol SSL 3.0 a namiesto toho povoliť TLS.
Týmto spôsobom si môžete byť istí, že vaše internetové prehliadače sú zabezpečené pred prípadnými útokmi POODLE.
Image Credit: Karen na Flickr