מהו פודלה פגיעות וכיצד אתה יכול להגן על עצמך?
זה קשה לעטוף את המוח שלנו סביב כל אלה קטסטרופות האינטרנט כפי שהם מתרחשים, בדיוק כפי שחשבנו האינטרנט היה מאובטח שוב לאחר Heartbleed ו Shellshock איים "לסיים את החיים כפי שאנחנו מכירים את זה", מגיע POODLE.
אל תתעסקו יותר מדי כי זה לא מאיים כמו שזה נשמע. האמת היא שזה עניין להיות מודאג, אבל יש צעדים פשוטים שאתה יכול לנקוט כדי להגן על עצמך.
מה זה פודל?
נתחיל בקומת הקרקע. מה זה פודל? ראשית, הוא מייצג "ריפוד אורקל על מורשת מדור קודם הצפנה."סוגיית האבטחה היא בדיוק מה שהשם מרמז, שדרוג לאחור של פרוטוקול המאפשר ניצול על צורה לא מעודכנת של הצפנה. הנושא הגיע תשומת לב של העולם החודש, כאשר גוגל פרסמה נייר בשם "זה Poodle עקיצות: ניצול SSL 3.0 Fallback".
כדי להסביר זאת במונחים פשוטים יותר, אם תוקף המשתמש בהתקפה מסוג Man-in-the-Middle יכול להשתלט על נתב בנקודה חמה ציבורית, הם יכולים לאלץ את הדפדפן שלך לשדרג לאחור ל- SSL 3.0 (פרוטוקול ישן יותר) במקום להשתמש הרבה יותר מודרני TLS (Transport Layer Security), ולאחר מכן לנצל חור אבטחה ב- SSL לחטוף את הפעלות הדפדפן שלך. מאחר שהבעיה נמצאת בפרוטוקול, כל דבר שמשתמש ב- SSL מושפע.
כל עוד השרת והלקוח (דפדפן האינטרנט) תומכים ב- SSL 3.0, התוקף יכול לאלץ את השדרוג בפרוטוקול, כך שגם אם הדפדפן שלך מנסה להשתמש ב- TLS, בסופו של דבר הוא נאלץ להשתמש ב- SSL במקום זאת. התשובה היחידה היא עבור כל צד או את שני הצדדים כדי להסיר תמיכה SSL, הסרת האפשרות להיות מדורגת.
אם אתה גולש בעיקר מהבית ואינך משתמש נקודות חמות ציבוריות, פוטנציאל הנזק הוא די נמוך, ואתה יכול פשוט לקחת את הצעדים הקלים המתוארים בהמשך המאמר כדי להגן על עצמך. אם אתה משתמש לעתים קרובות בנקודה חמה ציבורית, ייתכן שהגיע הזמן לחשוב על שימוש ב- VPN.
כיצד ניתן לפתור את הבעיה?
מאחר שאין דרך לפתור את הבעיות עם SSL, הפתרון היחיד הוא עבור יצרני דפדפן ושרתי אינטרנט לשדרג הכל כדי להסיר תמיכה ב- SSL ודורש רק הצפנת TLS.
Google ו- Firefox כבר הודיעו שהם יסירו תמיכה בעתיד, ובעוד לא שמענו אותו דבר ממיקרוסופט, זה קל מאוד כמשתמש הקצה להשבית את SSL 3.0 ב- IE. רוב חברות האינטרנט הגדולות הן הסרת תמיכה SSL לאחר בעיה זו באה לידי ביטוי, אבל זה ייקח קצת זמן לכולם לעשות זאת.
כצרכן, תוכל להסיר תמיכה ב- SSL מהדפדפן שלך באמצעות אחת מהשיטות המתוארות למטה - או אם אתה משתמש ב- Firefox או ב- Google Chrome ואינך משתמש בנקודות חמות כל הזמן, תוכל להמתין עד שיעדכנו את הדפדפן. או שאתה יכול לוודא שתיקנת את הבעיה בעצמך.
השבתת SSL 3.0 ב - Mozilla Firefox
אם אתה משתמש מוזילה פיירפוקס, שלך SSL 3.0 חששות יושם למיטה ב -25 בנובמבר 2014, כאשר Fireox 34 הוא שוחרר. הבעיה היחידה עם זה היא שזה עדיין לא נובמבר ואתה צריך לנקוט פעולה כדי להגן על עצמך עכשיו. התחל על ידי פתיחת דפדפן פיירפוקס וניווט אל דף ההורדה של גרסת SSL להורדה ב- Firefox.
כאשר הוא הותקן בהצלחה, תוכל להזין "about: addons" בסרגל הניווט ולבחור את "סיומת גרסת SSL". תוכל ללחוץ על "אפשרויות" כדי לראות את ההגדרות עבור התוסף. ודא שה"עדכונים האוטומטיים "מופעלים וכי" גרסת SSL מינימלית "מוגדרת ל-" TLS 1.0 "
לאחר פיירפוקס 34 כבר פורסמו, אתה יכול להרגיש חופשי להשבית את הסיומת או להסיר את זה.
השבתת SSL 3.0 ב- Google Chrome
אם אתה משתמש ב- Google Chrome, תוכל להיות סמוך ובטוח כי SSL 3.0 יושבת בחודשים הקרובים, למרות שעדיין לא קבעה תאריך. אם אתה רוצה להגן על עצמך עכשיו, זה יכול להיעשות בכמה צעדים פשוטים. כל שעליך לעשות הוא ללכת אל סמל שולחן העבודה של Google Chrome שלך ולחץ באמצעות לחצן העכבר הימני על זה ואז לבחור "מאפיינים" בחלק התחתון של התפריט המוקפץ.
בחלון "מאפיינים" תראה תיבת קלט טקסט שאומרת "Target". פשוט לחץ על תיבה זו ולחץ על "סיום" על המקלדת. לאחר מכן, לחץ על מקש הרווח והעתק והדבק טקסט זה על הסוף.
--ssl-version-min = tls1
לחץ על "החל" ולאחר מכן לחץ על "המשך" בחלון המוקפץ ולאחר מכן לחץ על "אישור".
כעת הדפדפן שלך ידחה באופן אוטומטי אישורי SSL 3.0 ויקבל רק את TLS 1.0 ומעלה. כדאי לציין שאם תפעיל את Chrome דרך קיצור דרך אחר במחשב, הוא לא ישתמש בדגל זה.
השבתת SSL 3.0 ב - Internet Explorer
מיקרוסופט עדיין לא הודיעה מתי הם מתכננים לטפל בבעיית SSL 3.0 ולכן עדיף להשבית את זה בעצמך על ידי פתיחת תפריט "התחל" והקלדת "אפשרויות אינטרנט".
עבור אל הכרטיסיה "מתקדם" וגלול למטה אל הקטע "אבטחה" עד שתראה את אפשרויות SSL ו- TLS ולאחר מכן בטל את הסימון של האפשרות לשימוש ב- SSL 3.0, ולאחר מכן הפעל את TLS במקום זאת.
בדרך זו אתה יכול להיות בטוח כי דפדפני האינטרנט שלך כל מאובטח מפני כל התקפות POODLE פוטנציאליים.
קרדיט תמונה: קרן על Flickr