Skip to content

Jaka jest luka w zabezpieczeniach POODLE i jak się chronić?

21 de lipiec de 2021
POODLE 01

Trudno jest ogarnąć nasze umysły tymi wszystkimi katastrofami internetowymi, które się zdarzają, i tak jak myśleliśmy, że Internet znów jest bezpieczny po tym, jak Heartbleed i Shellshock zagrozili „zakończeniem życia takiego, jakie znamy”, wychodzi POODLE.

Nie przejmuj się zbytnio, ponieważ nie jest to tak groźne, jak się wydaje. Prawda jest taka, że ​​jest to problem, którym należy się zająć, ale istnieją proste kroki, które możesz podjąć, aby się zabezpieczyć.

Co to jest pudel?

Zacznijmy od parteru. Co to jest pudel? Po pierwsze, oznacza „Wypełnienie Oracle przy obniżonym starszym szyfrowaniu”. Kwestia bezpieczeństwa jest dokładnie tym, co sugeruje nazwa, czyli obniżeniem wersji protokołu, która umożliwia wykorzystywanie przestarzałej formy szyfrowania. Problem ten zwrócił uwagę świata w tym miesiącu, gdy Google opublikował artykuł zatytułowany „This POODLE Bites: Exploiting The SSL 3.0 Fallback”.

Aby wyjaśnić to w prostszy sposób, jeśli atakujący korzystający z ataku Man-In-The-Middle może przejąć kontrolę nad routerem w publicznym hotspocie, może zmusić przeglądarkę do przejścia na SSL 3.0 (starszy protokół) zamiast korzystać z znacznie bardziej nowoczesny TLS (Transport Layer Security), a następnie wykorzystaj lukę w zabezpieczeniach SSL, aby przejąć sesje przeglądarki. Ponieważ ten problem tkwi w protokole, dotyczy to wszystkiego, co używa protokołu SSL.

Dopóki zarówno serwer, jak i klient (przeglądarka internetowa) obsługują SSL 3.0, atakujący może wymusić obniżenie poziomu protokołu, więc nawet jeśli Twoja przeglądarka spróbuje użyć TLS, w końcu zostanie zmuszony do korzystania z SSL. Jedyną odpowiedzią jest usunięcie obsługi SSL przez którąkolwiek ze stron lub obie strony, usuwając możliwość obniżenia wersji.


Jeśli przeglądasz internet głównie w domu i nie korzystasz z publicznych hotspotów, ryzyko uszkodzenia jest dość niskie i możesz po prostu wykonać proste kroki opisane w dalszej części artykułu, aby się zabezpieczyć. Jeśli często korzystasz z publicznego hotspotu, być może nadszedł czas, aby pomyśleć o korzystaniu z VPN.

Jak możemy rozwiązać problem?

Ponieważ nie ma sposobu na rozwiązanie problemów z SSL, jedynym rozwiązaniem dla twórców przeglądarek i serwerów internetowych jest uaktualnienie wszystkiego, aby usunąć obsługę SSL i wymagać tylko szyfrowania TLS.

Google i Firefox ogłosiły już, że w przyszłości usuną wsparcie i chociaż (jeszcze) nie słyszeliśmy tego samego od Microsoftu, użytkownikom końcowym bardzo łatwo jest wyłączyć SSL 3.0 w IE. Większość dużych firm internetowych usuwa wsparcie dla SSL po tym, jak ten problem wyszedł na jaw, ale zrobienie tego wszystkim zajmie trochę czasu.

Jako konsument możesz usunąć obsługę SSL ze swojej przeglądarki, korzystając z jednej z metod opisanych poniżej – lub jeśli używasz przeglądarki Firefox lub Google Chrome i nie korzystasz cały czas z hotspotów, możesz poczekać, aż zaktualizują przeglądarkę. Możesz też upewnić się, że sam rozwiązałeś problem.

Wyłączanie SSL 3.0 w Mozilla Firefox

Jeśli jesteś użytkownikiem Mozilla Firefox, Twoje obawy związane z SSL 3.0 zostaną rozwiane 25 listopada 2014 r., kiedy zostanie wydany Fireox 34. Jedynym problemem jest to, że nie jest jeszcze listopad i musisz podjąć działania, aby się chronić. Zacznij od otwarcia przeglądarki Firefox i przejścia do Kontrola wersji SSL strona pobierania w Firefoksie.

pudel 1

Po pomyślnym zainstalowaniu możesz wpisać „about:addons” w pasku nawigacyjnym i wybrać rozszerzenie „SSL Version Control”. Możesz kliknąć „Opcje”, aby zobaczyć ustawienia rozszerzenia. Upewnij się, że „Aktualizacje automatyczne” są włączone i że „Minimalna wersja SSL” jest ustawiona na „TLS 1.0”

pudel 3


Po wydaniu Firefoksa 34 możesz wyłączyć rozszerzenie lub je odinstalować.

Wyłączanie SSL 3.0 w Google Chrome

Jeśli jesteś użytkownikiem Google Chrome, możesz mieć pewność, że SSL 3.0 zostanie wyłączony w nadchodzących miesiącach, chociaż nie ustalili jeszcze daty. Jeśli chcesz się teraz zabezpieczyć, możesz to zrobić w kilku prostych krokach. Po prostu przejdź do ikony pulpitu Google Chrome i kliknij ją prawym przyciskiem myszy, a następnie wybierz „Właściwości” u dołu wyskakującego menu.

pudel 4

W oknie „Właściwości” zobaczysz pole tekstowe z napisem „Cel”. Po prostu kliknij to pole i naciśnij przycisk „Zakończ” na klawiaturze. Następnie naciśnij „Spację” i skopiuj i wklej ten tekst na końcu.

–ssl-version-min=tls1

pudel 5

Naciśnij „Zastosuj”, a następnie kliknij „Kontynuuj” w wyskakującym okienku, a następnie naciśnij „OK”.

Teraz Twoja przeglądarka automatycznie odrzuci certyfikaty SSL 3.0 i zaakceptuje tylko TLS 1.0 i wyższe. Warto zauważyć, że jeśli uruchomisz Chrome za pomocą dowolnego innego skrótu na komputerze, nie będzie on używał tej flagi.

Wyłączanie SSL 3.0 w przeglądarce Internet Explorer

Microsoft nie ogłosił jeszcze, kiedy planuje rozwiązać problem z SSL 3.0, więc najlepiej wyłączyć go samodzielnie, otwierając menu „Start” i wpisując „Opcje internetowe”.

Jaka jest luka w zabezpieczeniach POODLE i jak sie chronic


Przejdź do zakładki „Zaawansowane” i przewiń w dół do sekcji „Zabezpieczenia”, aż zobaczysz opcje SSL i TLS, a następnie odznacz opcję Użyj SSL 3.0 i zamiast tego włącz TLS.

pudel 9

W ten sposób możesz mieć pewność, że wszystkie Twoje przeglądarki internetowe są zabezpieczone przed potencjalnymi atakami POODLE.

Źródło obrazu: Karen na Flickr

Czy ten post był pomocny?