Este greu să ne înfășurăm mintea în jurul tuturor acestor catastrofe de pe Internet, așa cum au apărut și așa cum am crezut că internetul a fost sigur din nou după ce Heartbleed și Shellshock amenința că "vor sfârși viața așa cum o știm", vine POODLE.
Nu vă îngrijiți prea mult pentru că nu este la fel de amenințător cum sună. Adevărul este că este o problemă de preocupat, dar există pași simpli pe care îi puteți lua pentru a vă proteja.
Să începem la parter. Ce este POODLE? În primul rând, aceasta înseamnă "Îndepărtarea Oracle pe criptarea retrogradată a Legacy"Problema de securitate este exact ceea ce sugerează și numele, un downgrade de protocol care permite exploatează o formă de criptare învechită. Problema a venit în atenția lumii în această lună, când Google a lansat o lucrare numită "Acest Bug POODLE: Exploatarea SSL 3.0 Fallback".
Pentru a explica acest lucru într-un mod mai simplu, dacă un atacator care folosește un atac Man-In-The-Middle poate prelua controlul unui router la un hotspot public, acesta poate forța browserul să se transforme în SSL 3.0 (un protocol mai vechi) mult mai moderne TLS (Transport Layer Security), și apoi să exploateze o gaură de securitate în SSL pentru a deturna sesiunile de browser. Deoarece această problemă se află în protocol, orice lucru care utilizează SSL este afectat.
Atâta timp cât atât serverul, cât și clientul (browserul web) acceptă SSL 3.0, atacatorul poate forța o downgrade în protocol, deci chiar dacă browserul dvs. încearcă să utilizeze TLS, el devine forțat să utilizeze SSL în schimb. Singurul răspuns este pentru fiecare parte sau ambele părți pentru a elimina suportul pentru SSL, eliminând posibilitatea de a fi retrogradat.
Dacă răsfoiți în primul rând de acasă și nu utilizați hotspoturi publice, potențialul de deteriorare este destul de scăzut și puteți să luați pașii simpli descriși mai târziu în articol pentru a vă proteja. Dacă utilizați adesea un hotspot public, ar putea fi momentul să vă gândiți la utilizarea unei rețele VPN.
Deoarece nu există nicio modalitate de a rezolva problemele cu SSL, singura soluție este pentru producătorii de browsere și serverele web să actualizeze totul pentru a elimina suportul pentru SSL și necesită doar criptarea TLS.
Google și Firefox au anunțat deja că vor elimina suportul în viitor și, deși nu am auzit (încă) același lucru de la Microsoft, este extrem de ușor ca un utilizator final să dezactiveze SSL 3.0 în IE. Majoritatea companiilor web mari elimină suportul pentru SSL după ce această problemă a ieșit la lumină, dar va dura ceva timp ca toată lumea să facă acest lucru.
În calitate de consumator, puteți elimina suportul pentru SSL din browser folosind una dintre metodele prezentate mai jos - sau dacă utilizați Firefox sau Google Chrome și nu utilizați hotspot-uri tot timpul, puteți aștepta ca aceștia să actualizeze browserul. Sau puteți să vă asigurați că ați rezolvat problema singură.
Dacă sunteți utilizator Mozilla Firefox, problemele dvs. SSL 3.0 vor fi așezate în pat pe data de 25 noiembrie 2014 când va fi lansat Fireox 34. Singura problemă cu acest lucru este că nu este încă în noiembrie și trebuie să luați măsuri pentru a vă proteja acum. Începeți prin deschiderea browserului dvs. Firefox și navigând la pagina de descărcare a controlului versiunii SSL din Firefox.
Când a fost instalat cu succes, puteți introduce "despre: addons" în bara de navigare și selectați extensia "Control versiune SSL". Puteți să dați clic pe "Opțiuni" pentru a vedea setările pentru extensie. Asigurați-vă că "Actualizările automate" sunt active și că "Versiunea SSL minimă" este setată la "TLS 1.0"
După ce Firefox 34 a fost lansat, vă puteți simți liber să dezactivați extensia sau să o dezinstalați.
Dacă sunteți utilizator Google Chrome, puteți fi siguri că SSL 3.0 va fi dezactivat în următoarele luni, deși nu au stabilit încă o dată. Dacă doriți să vă protejați acum, se poate face în câțiva pași simpli. Pur și simplu accesați pictograma desktop Google Chrome și faceți clic dreapta pe el, apoi selectați "Properties" (Proprietăți) din partea de jos a meniului pop-up.
În fereastra "Proprietăți", veți vedea o casetă de introducere a textului care afișează "Destinație". Pur și simplu faceți clic în această casetă și apăsați butonul "Sfârșit" de pe tastatură. Apoi, apăsați "Bara de spațiu" și copiați și lipiți acest text până la capăt.
--ssl-versiune min = tls1
Apăsați "Apply", apoi faceți clic pe "Continue" din fereastra pop-up, apoi apăsați "OK".
Acum, browserul dvs. va respinge automat certificatele SSL 3.0 și va accepta TLS 1.0 și versiuni ulterioare. Merită menționat că dacă lansați Chrome prin orice altă comandă rapidă de pe computer, acesta nu va utiliza acest steag.
Microsoft nu a anunțat încă când intenționează să abordeze problema SSL 3.0, astfel încât este mai bine să o dezactivați prin deschiderea meniului "Start" și tastând "Opțiuni Internet".
Accesați fila "Avansat" și derulați în jos până la secțiunea "Securitate" până când vedeți opțiunile SSL și TLS, apoi debifați opțiunea Utilizare SSL 3.0 și activați TLS în schimb.
În acest fel, puteți fi sigur că browserele dvs. de internet sunt toate protejate împotriva oricăror atacuri POODLE potențiale.
Credit de imagine: Karen pe Flickr
