If-Koubou

Какви са причините за уязвимостта и как може да се предпазите?

Какви са причините за уязвимостта и как може да се предпазите? (Как да)

Трудно е да обгърнем умовете си около всички тези интернет катастрофи, тъй като те се случват и точно както си мислехме, че интернет е защитен отново, след като Heartbleed и Shellshock заплашват да "спрат живота, както го познаваме", идва "POODLE".

Не се прекалявайте, защото това не е толкова опасно, колкото звучи. Истината е, че е въпрос, за който да се занимавате, но има лесни стъпки, които можете да предприемете, за да се предпазите.

Какво е POODLE?

Да започнем на приземния етаж. Какво е POODLE? Първо, това означава "Зареждане на Oracle при понижено криптиране на наследство"Проблемът със сигурността е точно това, което подсказва името, протокол понижение, което позволява експлоатацията на неактуална форма на криптиране. Този въпрос дойде на вниманието на света този месец, когато Google пусна хартия, наречена "Това POODLE Bites: Използване на SSL 3.0 Fallback".

За да обясните това по-лесно, ако нападателят, използващ атака "Man-In-The-Middle", може да поеме управлението на маршрутизатора на обществена гореща точка, той може да принуди браузера ви да премине към SSL 3.0 (по-стар протокол) много по-модерна TLS (Security Layer Security) и след това да използвате дупка за сигурност в SSL, за да отвлечете браузърните ви сесии. Тъй като този проблем е в протокола, всичко, което използва SSL, е засегнато.

Докато сървърът и клиентът (уеб браузър) поддържат SSL 3.0, атакуващият може да наложи downgrade в протокола, така че дори и браузърът да се опитва да използва TLS, той в крайна сметка ще бъде принуден да използва SSL вместо това. Единственият отговор е от двете страни или от двете страни да премахнат подкрепата за SSL, премахвайки възможността да бъдат понижени.

Ако главно преглеждате от дома си и не използвате публични горещи точки, потенциалът за щети е доста нисък и можете просто да направите лесните стъпки, описани по-късно в статията, за да се предпазите. Ако често използвате публична гореща точка, може да е време да помислите за използването на VPN.

Как можем да решим проблема?

Тъй като няма начин да се решат проблемите с SSL, единственото решение е производителите на браузъри и уеб сървърите да обновяват всичко, за да премахнат подкрепата за SSL и да изискват само TLS криптиране.

Google и Firefox вече обявиха, че ще отнемат подкрепа в бъдеще и докато все още не сме чували същото от Microsoft, е изключително лесно като крайния потребител да деактивира SSL 3.0 в IE. Повечето от големите уеб компании премахват подкрепата за SSL, след като този проблем излезе наяве, но за известно време ще отнеме известно време.

Като потребител можете да премахнете поддръжката за SSL от браузъра си, като използвате един от методите, очертани по-долу, или ако използвате Firefox или Google Chrome и не използвате постоянно горещи точки, можете да ги изчакате да актуализират браузъра. Или можете да се уверите, че сте задали проблема сами.

Деактивиране на SSL 3.0 в Mozilla Firefox

Ако сте потребител на Mozilla Firefox, проблемите ви с SSL 3.0 ще бъдат поставени в леглото на 25 ноември 2014 г., когато Fireox 34 бъде пуснат. Единственият проблем с това е, че все още не е ноември и трябва да предприемете действия, за да се защитите сега. Започнете, като отворите браузъра си за Firefox и отидете до страницата за изтегляне на контрола на SSL в Firefox.

Когато успешно е инсталиран, можете да въведете "about: addons" в навигационната лента и да изберете разширението "Управление на версията SSL". Можете да кликнете върху "Опции", за да видите настройките за разширението. Уверете се, че "Автоматични актуализации" са включени и "Минимална SSL версия" е зададена на "TLS 1.0"

След като Firefox 34 бъде пуснат, можете да се чувствате свободни да деактивирате разширението или да го деинсталирате.

Деактивиране на SSL 3.0 в Google Chrome

Ако сте потребител на Google Chrome, можете да бъдете сигурни, че SSL 3.0 ще бъде деактивиран през следващите месеци, въпреки че все още не са задали дата. Ако искате да се защитите сега, това може да се направи в няколко прости стъпки. Просто отидете на иконата си на работния плот на Google Chrome и кликнете с десния бутон върху нея, след което изберете "Properties" в долната част на изскачащото меню.

В прозореца "Properties" ще видите поле за въвеждане на текст, което казва "Target." Просто кликнете в това поле и натиснете бутона "End" на клавиатурата. След това натиснете "Интервал" и копирайте и поставете този текст в края.

--ssl версия-мин = tls1

Натиснете "Apply" и натиснете "Continue" в прозореца, след което натиснете "OK".

Сега вашият браузър автоматично ще отхвърли сертификатите SSL 3.0 и ще приеме само TLS 1.0 и по-нови версии. Струва си да се отбележи, че ако стартирате Chrome чрез друга пряк път на компютъра си, той няма да използва това знаме.

Деактивиране на SSL 3.0 в Internet Explorer

Microsoft все още не е обявил, когато планира да отговори на проблема с SSL 3.0, така че е най-добре да го деактивирате сами, като отворите менюто "Старт" и въведете "Интернет опции".

Отворете раздела "Разширени" и превъртете надолу до секцията "Защита", докато видите опциите за SSL и TLS, след което проверете опцията "Използване на SSL 3.0" и активирайте TLS вместо това.

По този начин можете да сте сигурни, че вашите интернет браузъри са напълно защитени от потенциални атаки на POODLE.

Image Credit: Карен на Flickr