Яка вразливість POODLE і як можна захистити себе?
Важко загорнути наші розуми навколо всіх цих катастроф в Інтернеті, як вони відбуваються, і, як ми думали, що Інтернет знову захищений після того, як Heartbleed і Shellshock погрожували «закінчити життя, як ми його знаємо», виходить POODLE.
Не надто працюйте, тому що це не так загрозливо, як здається. Правда полягає в тому, що це питання, яке потрібно вирішувати, але існують прості кроки, які можна зробити, щоб захистити себе.
Що таке POODLE?
Давайте почнемо на першому поверсі. Що таке POODLE? По-перше, це означаєЗаповнення Oracle на зниженому спадковому шифруванні.Проблема безпеки - це саме те, що випливає з назви, зниження протоколу, що дозволяє експлуатувати застарілу форму шифрування. Проблема прийшла в усьому світі в цьому місяці, коли Google випустила статтю під назвою "This POODLE Bites: використання резервного SSL 3.0".
Щоб пояснити це в простіших термінах, якщо зловмисник, який використовує атаку "Людина-в-Близькому", може взяти під свій контроль маршрутизатор у громадській точці доступу, вони можуть змусити браузер перейти на SSL 3.0 (старий протокол) замість використання набагато більш сучасний TLS (Transport Layer Security), а потім використовуйте дірку безпеки в SSL, щоб захопити сеанси вашого браузера. Оскільки ця проблема знаходиться в протоколі, це впливає на все, що використовує SSL.
Поки сервер і клієнт (веб-браузер) підтримують протокол SSL 3.0, зловмисник може примусити знизитися в протоколі, тому навіть якщо ваш браузер намагається використовувати TLS, він змушений використовувати SSL. Єдина відповідь для будь-якої сторони або обох сторін для видалення підтримки SSL, усуваючи можливість зниження.
Якщо ви в першу чергу переглядаєте з дому та не використовуєте публічні гарячі точки, потенціал шкоди досить низький, і ви можете просто зробити прості кроки, описані пізніше в статті, щоб захистити себе. Якщо ви часто використовуєте загальнодоступну точку доступу, настав час подумати про використання VPN.
Як ми можемо вирішити проблему?
Оскільки не існує способу вирішення проблем із SSL, єдиним рішенням для виробників веб-переглядачів і веб-серверів є оновлення всього, щоб видалити підтримку SSL і вимагати лише шифрування TLS.
Google і Firefox вже оголосили, що вони будуть видаляти підтримку в майбутньому, і хоча ми ще (ще) не чули те ж саме від Microsoft, дуже просто, як кінцевий користувач, вимкнути SSL 3.0 в IE. Більшість великих веб-компаній видаляють підтримку SSL після того, як ця проблема з'явилася на світ, але це займе деякий час, щоб усі могли це зробити.
Як споживач, ви можете видалити підтримку SSL з вашого браузера, використовуючи один з методів, описаних нижче - або якщо ви використовуєте Firefox або Google Chrome і не використовуєте гарячі точки весь час, ви можете чекати їх оновлення браузера. Або переконайтеся, що ви вирішили проблему самостійно.
Вимкнення SSL 3.0 у Mozilla Firefox
Якщо ви користувач Mozilla Firefox, ваші проблеми з SSL 3.0 стануть спати 25 листопада 2014 року, коли буде випущено Fireox 34. \ t Єдина проблема в тому, що вона ще не листопад, і вам потрібно вжити заходів, щоб захистити себе зараз. Почніть з відкриття браузера Firefox і перейдіть на сторінку завантаження SSL версії в Firefox.
Після успішного встановлення, ви можете ввести "about: addons" у навігаційну панель і вибрати розширення "SSL Version Control". Ви можете натиснути кнопку "Параметри", щоб переглянути налаштування розширення. Переконайтеся, що "Автоматичне оновлення" увімкнено, а для параметра "Мінімальна версія SSL" встановлено значення "TLS 1.0"
Після випуску Firefox 34 ви можете вимкнути розширення або видалити його.
Вимкнення SSL 3.0 у Google Chrome
Якщо ви користувач Google Chrome, ви можете бути впевнені, що SSL 3.0 буде вимкнено у наступні місяці, хоча вони ще не встановили дату. Якщо ви хочете захистити себе зараз, це можна зробити в кілька простих кроків. Просто перейдіть на піктограму на робочому столі Google Chrome і клацніть на ньому правою кнопкою миші, а потім виберіть "Властивості" в нижній частині контекстного меню.
У вікні «Властивості» ви побачите вікно вводу тексту, у якому написано «Target». Просто натисніть на це поле і натисніть кнопку «End» на клавіатурі. Далі натисніть клавішу "Пробіл" і скопіюйте та вставте цей текст на кінець.
--ssl-version-min = tls1
Натисніть "Застосувати", потім натисніть "Продовжити" у спливаючому вікні, потім натисніть "OK".
Тепер ваш браузер автоматично відхиляє сертифікати SSL 3.0 і приймає тільки TLS 1.0 і вище. Варто зауважити, що якщо ви запустите Chrome через будь-який інший ярлик на вашому комп'ютері, він не використовуватиме цей прапор.
Вимкнення SSL 3.0 в Internet Explorer
Корпорація Майкрософт ще не оголосила, що планується вирішити проблему SSL 3.0, тому краще вимкнути її, відкривши меню «Пуск» і ввівши «Параметри Інтернету».
Перейдіть на вкладку "Додатково" і прокрутіть вниз до розділу "Безпека", доки не побачите опції SSL і TLS, а потім зніміть прапорець "Використовувати SSL 3.0" і ввімкніть TLS.
Таким чином, ви можете бути впевнені, що всі ваші інтернет-браузери захищені від будь-яких потенційних атак POODLE.
Зображення: Карен на Flickr