Hva er sikkerhetsproblemet POODLE og hvordan kan du beskytte deg selv?
Det er vanskelig å bryte våre tanker rundt alle disse internettkatastrofer som de oppstår, og akkurat som vi trodde Internett var sikkert igjen etter at Heartbleed og Shellshock truet med å "avslutte livet som vi kjenner det", kommer ut POODLE.
Ikke bli for opparbeidet fordi det ikke er så truende som det høres ut. Sannheten er at det er et problem å være opptatt av, men det er enkle trinn du kan ta for å beskytte deg selv.
Hva er POODLE?
La oss starte i første etasje. Hva er POODLE? For det første står det for "Padding Oracle på nedgradert legacy kryptering."Sikkerhetsproblemet er akkurat det navnet antyder, en nedgradering av protokollen som tillater utnyttelser på en utdatert form for kryptering. Problemet kom til verdens oppmerksomhet denne måneden da Google utgav et dokument som heter "This POODLE Bites: Utnyttelse av SSL 3.0 Fallback".
For å forklare dette på enklere vilkår, kan en angriper som bruker et Man-in-the-Middle-angrep ta kontroll over en ruter ved et offentlig hotspot, og de kan tvinge nettleseren til å nedgradere til SSL 3.0 (en eldre protokoll) i stedet for å bruke mye mer moderne TLS (Transport Layer Security), og deretter utnytte et sikkerhetshull i SSL for å kapre leserens økter. Siden dette problemet er i protokollen, påvirkes alt som bruker SSL.
Så lenge både serveren og klienten (nettleseren) støtter SSL 3.0, kan angriperen tvinge nedgradering i protokollen, slik at selv om nettleseren din prøver å bruke TLS, blir det ikke nødvendig å bruke SSL i stedet. Det eneste svaret er at begge sider eller begge sider fjerner støtte for SSL, og eliminerer muligheten for å bli nedgradert.
Hvis du primært surfer hjemmefra og ikke bruker offentlige hotspots, er potensialet for skade ganske lavt, og du kan bare ta de enkle trinnene som er skissert senere i artikkelen for å beskytte deg selv. Hvis du ofte bruker et offentlig hotspot, kan det være på tide å tenke på å bruke en VPN.
Hvordan kan vi løse problemet?
Siden det ikke er mulig å løse problemene med SSL, er den eneste løsningen for nettlesere og webservere å oppgradere alt for å fjerne støtte for SSL og krever bare TLS-kryptering.
Google og Firefox har allerede annonsert at de vil fjerne støtte i fremtiden, og mens vi ennå ikke har hørt det samme fra Microsoft, er det ekstremt enkelt som sluttbruker å deaktivere SSL 3.0 i IE. De fleste av de store nettbedriftene fjerner støtte for SSL etter at dette problemet ble oppdaget, men det vil ta en stund for alle å gjøre det.
Som forbruker kan du fjerne støtte for SSL fra nettleseren din ved hjelp av en av metodene som er skissert nedenfor - eller hvis du bruker Firefox eller Google Chrome og ikke bruker hotspots hele tiden, kan du vente på at de oppdaterer nettleseren. Eller du kan sørge for at du selv har løst problemet.
Deaktivering av SSL 3.0 i Mozilla Firefox
Hvis du er en Mozilla Firefox-bruker, vil SSL 3.0-bekymringene bli lagt i seng 25. november 2014 når Fireox 34 er utgitt. Det ene problemet med dette er at det ikke er november ennå, og du må gjøre noe for å beskytte deg selv nå. Start med å åpne Firefox-nettleseren din og navigere til nedlastingssiden for SSL Version Control i Firefox.
Når det har blitt installert, kan du skrive inn "om: addons" i navigasjonslinjen og velge "SSL Version Control" -utvidelsen. Du kan klikke på "Valg" for å se innstillingene for utvidelsen. Kontroller at "Automatiske oppdateringer" er på, og at "Minimum SSL Version" er satt til "TLS 1.0"
Etter at Firefox 34 har blitt utgitt, kan du gjerne deaktivere utvidelsen eller avinstallere den.
Deaktiverer SSL 3.0 i Google Chrome
Hvis du er en Google Chrome-bruker, kan du være trygg på at SSL 3.0 blir deaktivert i de kommende månedene, selv om de ennå ikke har angitt en dato. Hvis du vil beskytte deg selv nå, kan det gjøres i noen få enkle trinn. Bare gå til Google Chrome-skrivebordet, og høyreklikk på det og velg deretter "Egenskaper" nederst på popup-menyen.
I vinduet "Egenskaper" ser du en tekstboks som sier "Mål". Bare klikk i denne boksen og trykk på "Slutt" -knappen på tastaturet. Deretter trykk "Mellomrom" og kopier og lim inn denne teksten på slutten.
--ssl-versjon-min = tls1
Trykk "Apply" og klikk "Continue" i popup-vinduet og trykk deretter "OK".
Nå vil nettleseren din automatisk avvise SSL 3.0-sertifikater og bare godta TLS 1.0 og høyere. Det er verdt å merke seg at hvis du starter Chrome via en hvilken som helst annen snarvei på datamaskinen, vil den ikke bruke dette flagget.
Deaktivering av SSL 3.0 i Internet Explorer
Microsoft har ennå ikke annonsert når de planlegger å ta opp SSL 3.0-problemet, så det er best å deaktivere det selv ved å åpne "Start" -menyen og skrive inn "Internet Options."
Gå til fanen «Avansert» og bla ned til «Sikkerhet» -delen til du ser SSL- og TLS-alternativene, og fjern deretter merket for Bruk SSL 3.0 og aktiver TLS i stedet.
På denne måten kan du være sikker på at nettleserne dine er sikre på alle mulige POODLE-angrep.
Bilde Kreditt: Karen på Flickr