Πώς να σταματήσετε την εκμετάλλευση του POODLE από το δάγκωμα του προγράμματος περιήγησής σας

Διαφήμιση

Πότε δεν αρέσουν οι άνθρωποι ένα κουτάβι; Όταν ξέρουν ότι δεν είναι κουτάβι, αλλά ένα πρόγραμμα περιήγησης που στοχεύει στην κλοπή των ζωτικών πληροφοριών τους. ΤΟ ΠΟΔΟΣ (Ππροσθέτωντας Οracle Ον ρειδιόκτητο μεγάλοεγωισμός μιncryption) για το οποίο μιλάμε είναι μια σοβαρή επίθεση ασφαλείας.

Ως εκμετάλλευση ασφάλειας, μπορεί να επηρεάσει όλα τα προγράμματα περιήγησης ιστού, και συνεπώς οποιονδήποτε από εμάς. Ας μάθουμε τι είναι το POODLE, τι κάνει και τι μπορείτε να κάνετε για να μην σας δαγκώσει.

Πληροφορίες Ιστορικού

Για να κατανοήσετε το POODLE, πρέπει να ξέρετε λίγο για SSL και TLS Τι είναι το HTTPS και πώς να ενεργοποιήσετε τις ασφαλείς συνδέσεις ανά προεπιλογήΟι ανησυχίες για την ασφάλεια διαδίδονται πολύ μακριά και έχουν φτάσει στην πρώτη γραμμή του μυαλού των περισσότερων. Όροι όπως το antivirus ή το τείχος προστασίας δεν είναι πλέον περίεργο λεξιλόγιο και δεν είναι μόνο κατανοητοί, αλλά χρησιμοποιούνται επίσης από ... Διαβάστε περισσότερα . Πρόκειται για δύο κρυπτογραφικά πρωτόκολλα που αναπτύχθηκαν για να βοηθήσουν στην προστασία των σημαντικών σας διαδικτυακών επικοινωνιών. Όταν μεταβαίνετε σε έναν ιστότοπο και βλέπετε

HTTPS: // πριν από τη διεύθυνση ιστού, χρησιμοποιείτε SSL / TLS. SSL (μικρόναι μικρόκουτί μεγάλοayer) και TLS (Τransport μικρόασφάλεια μεγάλοayer) είναι δύο πολύ διαφορετικά πρωτόκολλα, αλλά οι περισσότεροι άνθρωποι απλώς τα συνδυάζουν και τα αποκαλούν SSL. Το SSL αντικαταστάθηκε στην πραγματικότητα από το πρωτόκολλο TLS πριν από δέκα χρόνια ως το στην πραγματικότητα πρότυπο για κρυπτογραφία, ωστόσο το SSL εξακολουθεί να χρησιμοποιείται ευρέως. Αυτό είναι που κάνει το POODLE επικίνδυνο.

Όταν επισκέπτεστε έναν ιστότοπο, ο υπολογιστής που σας εξυπηρετεί τη σελίδα (διακομιστής ιστού) είναι ικανό για διάφορα επίπεδα κρυπτογράφηση ασφάλεια, οπουδήποτε από το TLSv1.2, το πιο πρόσφατο και ασφαλές πρωτόκολλο, έως το SSLv3, το παλαιότερο και λιγότερο ασφαλές πρωτόκολλο. Αυτό επιτρέπει στο πρόγραμμα περιήγησής σας και στον διακομιστή ιστού να μπορούν να συνδεθούν με το ίδιο πρωτόκολλο, ώστε να μπορούν να μιλούν με ασφάλεια. Αυτός είναι ο βασικός τρόπος που προσπαθούν να αποτρέψουν τα προγράμματα περιήγησης και οι διακομιστές ιστού ανθρωποσκοπικές επιθέσεις Τι είναι μια επίθεση Man-in-the-Middle; Επεξήγηση της ασφάλειας JargonΕάν έχετε ακούσει για επιθέσεις "man-in-the-middle" αλλά δεν είστε σίγουροι τι σημαίνει αυτό, αυτό είναι το άρθρο για εσάς. Διαβάστε περισσότερα , όπως το POODLE.

Τι κάνει το POODLE;

Το POODLE προσπαθεί να αναγκάσει τη σύνδεση μεταξύ του προγράμματος περιήγησης ιστού και του διακομιστή να υποβαθμιστεί σε SSLv3. Εάν το κάνει αυτό, ο εισβολέας μπορεί να λάβει τις πληροφορίες απλού κειμένου από την επικοινωνία. Αυτό σημαίνει ότι μπορούν να έχουν πρόσβαση σε cookie που χρησιμοποιούνται συχνά για την αποθήκευση πληροφοριών, μερικά από τα οποία θα μπορούσαν να είναι προσωπικά και ευαίσθητα στη φύση Τι είναι ένα cookie και τι έχει να κάνει με το απόρρητό μου; [MakeUseOf Εξηγεί]Οι περισσότεροι άνθρωποι γνωρίζουν ότι υπάρχουν cookies διάσπαρτα σε όλο το Διαδίκτυο, έτοιμα και πρόθυμα να καταναλωθούν από όποιον μπορεί να τα βρει πρώτα. ΟΠΑ, τι? Αυτό δεν μπορεί να είναι σωστό. Ναι, υπάρχουν cookies ... Διαβάστε περισσότερα . Αυτό που κάνει ο εισβολέας με αυτές τις πληροφορίες είναι εικασία κανενός, αλλά δεν είναι ποτέ κάτι καλό.

Από την άλλη πλευρά, η επίθεση POODLE δεν είναι ο ευκολότερος τρόπος για να πάρει ο εισβολέας τις πληροφορίες σας. Μπορεί να χρειαστούν εκατοντάδες, ακόμη και χιλιάδες, προσπάθειες για να επιτεθεί η επίθεση POODLE σε κάποιον. Άρα είναι κάτι που πρέπει να ανησυχείτε, ωστόσο δεν είναι απαραίτητα τόσο κακό όσο το πρόσφατο τεύχος Heartbleed Heartbleed - Τι μπορείτε να κάνετε για να παραμείνετε ασφαλείς; Διαβάστε περισσότερα .

Πώς μπορώ να προστατευθώ από το POODLE;

Ευτυχώς, είναι αρκετά εύκολο να το κάνετε. Πρώτα πράγματα πρώτα, ας δούμε αν είστε ευάλωτοι στο POODLE. Απλώς μεταβείτε στον ιστότοπο POODLETest.com. Εάν δείτε ένα poodle, πρέπει να κάνετε κάποιο καθαρισμό. Αν δείτε το Springfield Terrier, το πρόγραμμα περιήγησής σας είναι καλό. Για όσους έχουν μεγαλύτερη τεχνογνωσία, ρίξτε μια ματιά Δοκιμή πελάτη SSL Labs SSL της Qualys. Παρέχει περισσότερες σε βάθος λεπτομέρειες.

Η βασική αρχή είναι να απενεργοποιήσετε την υποστήριξη SSLv3 στο πρόγραμμα περιήγησης ιστού. Εάν είναι απενεργοποιημένο, το POODLE ΔΕΝ μπορεί να υποβαθμίσει το πρόγραμμα περιήγησής σας σε αυτό. Ας δούμε πώς να το κάνουμε αυτό σε Chrome, Internet Explorer και Firefox.

Να γνωρίζετε, πολλοί ιστότοποι εξακολουθούν να θέλουν να χρησιμοποιούν SSLv3. Εάν το απενεργοποιήσετε, αυτοί οι ιστότοποι ενδέχεται να μην λειτουργούν τόσο καλά για εσάς όπως κάποτε. Δεν θα ήταν κακό να στείλετε σε αυτήν την εταιρεία ένα ωραίο e-mail με έναν σύνδεσμο προς αυτό το άρθρο, ώστε να γνωρίζουν το πρόβλημα. Ας ελπίσουμε ότι θα αναβαθμιστούν σε TLS και όλα θα είναι καλά ξανά.

Χρώμιο

Βρείτε τη συντόμευση που χρησιμοποιείτε για την εκκίνηση του Chrome. Κάντε δεξί κλικ πάνω του και μετά κάντε κλικ στο Ιδιότητες.

Οταν ο Ιδιότητες ανοίγει το παράθυρο, βρείτε το πεδίο με το όνομα Στόχος. Θα πρέπει να υπάρχει μια μεγάλη διαδρομή για το πού βρίσκεται το αρχείο Chrome. Θα πρέπει να μοιάζει με: "C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" ή "C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe".

Κάντε κλικ αμέσως μετά το τελευταίο εισαγωγικό και πατήστε το πλήκτρο διαστήματος για να δημιουργήσετε ένα κενό. Τώρα πληκτρολογήστε τα εξής:

 ––Ssl-version-min = tls1

Μπορείτε επίσης να το αντιγράψετε και να το επικολλήσετε από εδώ. Αυτό που λέει στο Chrome να κάνει είναι να χρησιμοποιήσει το TLSv1 ως τη χαμηλότερη έκδοση ασφαλείας για το πρόγραμμα περιήγησής σας Chrome. Κάνε κλικ στο Ισχύουν κουμπί στο κάτω μέρος του παραθύρου και την επόμενη φορά που θα ανοίξετε το Chrome, θα είναι ανθεκτικό στο POODLE.

Internet Explorer

Ανοίξτε το πρόγραμμα περιήγησης Internet Explorer και κάντε κλικ στο Ρυθμίσεις εικόνισμα. Είναι αυτό που μοιάζει με γρανάζι. Τώρα κάντε κλικ στο ΕΠΙΛΟΓΕΣ ΔΙΑΔΙΚΤΥΟΥ. Θα ανοίξει ένα νέο παράθυρο.

Στην άκρη δεξιά πλευρά, θα δείτε μια καρτέλα με ετικέτα Προχωρημένος - κάντε κλικ σε αυτό. Στο Ρυθμίσεις περιοχή, μετακινηθείτε προς τα κάτω μέχρι να δείτε τις επιλογές Χρησιμοποιήστε το SSL 2.0 και το SSL 3.0.

Εάν υπάρχει ένα σημάδι επιλογής σε αυτά τα δύο πλαίσια, αποεπιλέξτε τα κάνοντας κλικ πάνω τους. Βεβαιωθείτε ότι τα κουτιά φέρουν την ετικέτα Χρησιμοποιήστε το TLS 1.o, χρησιμοποιήστε το TLS 1.1 και χρησιμοποιήστε το TLS 1.2 ελέγχονται. (Εάν δεν έχετε και τα τρία αυτά κουτιά TLS, θα πρέπει ενημερώστε τον Internet ExplorerΣτη συνέχεια, κάντε κλικ στο Ισχύουν κουμπί και το Εντάξει κουμπί. Ο Internet Explorer σας έχει πλέον πιστοποιηθεί στο POODLE.

Firefox

Εάν είστε οπαδός του Firefox, δείτε πώς μπορείτε να βοηθήσετε την αλεπού να ξεπεράσει το POODLE. Απλώς μεταβείτε στο Firefox's Έλεγχος έκδοσης SSL 0.2 Σελίδα πρόσθετων και, στη συνέχεια, κατεβάστε και εγκαταστήστε το πρόσθετο SSL Version Control 0.2. Είναι τόσο εύκολο.

Ο Firefox ανακοίνωσε επίσης ότι η επόμενη έκδοση, το Firefox 34, θα απενεργοποιήσει την υποστήριξη για το SSLv3. Ωστόσο, αυτή η έκδοση δεν θα κυκλοφορήσει μέχρι το Νοέμβριο, σύμφωνα με τον ιστότοπό τους.

Το POODLE θα στρωθεί

Όταν η πλειοψηφία των ατόμων ελέγξει τα προγράμματα περιήγησής τους και οι περισσότεροι διακομιστές ιστού σταματήσουν να χρησιμοποιούν SSLv3, το POODLE δεν θα είναι πλέον πρόβλημα. Υπάρχει επίσης ένα εργαλείο γνωστό ως TLS_FALLBACK_SCSV που έχει αναπτυχθεί που μπορούν να εφαρμόσουν οι διακομιστές ιστού και οι προγραμματιστές προγράμματος περιήγησης για βοήθεια. Δυστυχώς, αυτό το εργαλείο απαιτεί τόσο από τον διακομιστή ιστού όσο και από το πρόγραμμα περιήγησης. Αυτό θα διαρκέσει λίγο για να εφαρμοστούν όλοι. Μόνο τότε το SSLv3 θα περάσει από την άκρη του δρόμου, όπως θα έπρεπε να είχε πριν από μια δεκαετία. Διαδώστε τη λέξη και κάντε τον Ιστό ένα ασφαλέστερο μέρος.

Συντελεστές εικόνας: Angry Poodle, Διανυσματική εικόνα HTTPS μέσω του Shutterstock.