On vaikea kierrättää mieltämme kaikkiin näihin internetkatastrofeihin, kun ne ilmenevät, ja aivan kuten uskoimme, että Internet oli jälleen turvallinen, kun Heartbleed ja Shellshock uhkasivat "lopettaa elämämme, kun tiedämme sen", ulos tulee POODLE.
Älkää liikaa työtä, koska se ei ole yhtä uhkaava kuin se kuulostaa. Totuus on, että asia on huolestuttava, mutta on olemassa yksinkertaisia toimenpiteitä, joita voitte tehdä suojatakseen itseäsi.
Aloitetaan pohjakerroksessa. Mikä on POODLE? Ensinnäkin se tarkoittaa "Padding Oracle Downgrade Legacy-salauksella. "Tietoturvaongelma on täsmälleen se, mitä nimi ehdottaa, protokollan aleneminen, joka mahdollistaa vanhentuneen salausmuodon hyödyntämisen. Kysymys tuli maailman huomion tähän kuukauteen, kun Google julkaisi paperin nimeltään "Tämä POODLE Bites: SSL 3.0 Fallbackin hyödyntäminen".
Jos selain yksinkertaistetaan, jos hyökkääjä, joka käyttää Man-In-The-Middle-hyökkäystä, voi ohjata reitittimen julkisella hotspotilla, he voivat pakottaa selaimen siirtymään SSL 3.0: een (vanhempi protokolla) sen sijaan, että paljon uudempaa TLS (Transport Layer Security) ja sitten hyödyntää SSL: n suojausreikiä kaappaamaan selaimen istunnot. Koska tämä ongelma on protokolla, vaikuttaa kaikki SSL: tä käyttävät.
Niin kauan kuin sekä palvelin että asiakas (web-selain) tukevat SSL 3.0: ta, hyökkääjä voi pakottaa protokollan alennuksen, joten vaikka selaimesi yritti käyttää TLS: ää, se joutuu käyttämään SSL: n sijaan. Ainoa vastaus on kummallekin puolelle tai molemmille osapuolille, jotta SSL: n tuki poistettaisiin, jolloin mahdollisuus alennetaan.
Jos käytät ensisijaisesti kotisivua ja älä käytä julkisia hotspotteja, vahinko voi olla melko alhainen, ja voit vain ottaa artikkelissa myöhemmin kuvatut helpot toimenpiteet suojellaksesi itseäsi. Jos käytät usein julkista hotspotia, saattaa olla aika ajatella VPN: n käyttämistä.
Koska SSL-ongelmien ratkaiseminen ei ole mahdollista, ainoa ratkaisu on selainpäälliköt ja verkkopalvelimet, jotka voivat päivittää kaiken tuen poistamiseksi SSL-protokollasta ja edellyttävät vain TLS-salausta.
Google ja Firefox ovat jo ilmoittaneet, että ne poistavat tukea tulevaisuudessa ja vaikka emme ole (vielä) kuulleet samaa Microsoftilta, on erittäin helppoa, kun loppukäyttäjä poistaa SSL 3.0: n käytöstä IE: ssä. Useimmat suurista web-yrityksistä poistavat SSL: n tuen, kun tämä ongelma tuli esiin, mutta kestää kauan.
Kuluttajaksi voit poistaa SSL-tuen selaimesta jollakin seuraavista tavoista - tai jos käytät Firefoxia tai Google Chromea, ja et käytä jatkuvasti hotspotteja, voit odottaa niiden päivittämistä selaimella. Tai voit varmistaa, että olet korjannut ongelman itse.
Jos olet Mozilla Firefox-käyttäjä, SSL 3.0: n huolet laitetaan nukkumaan 25. marraskuuta 2014, kun Fireox 34 vapautetaan. Yksi ongelma tästä on, että se ei ole vielä marraskuussa, ja sinun on ryhdyttävä toimiin suojellakseen itseäsi nyt. Aloita avaamalla Firefox-selain ja siirtymällä Firefoxin SSL Version Controlin lataussivulle.
Kun se on onnistuneesti asennettu, voit syöttää "about: addons" navigointipalkista ja valita "SSL Version Control" -laajennuksen. Voit tarkastella laajennuksen asetuksia napsauttamalla "Asetukset". Varmista, että "Automaattiset päivitykset" ovat käytössä ja että "Minimi SSL-versio" on asetettu arvoon "TLS 1.0"
Kun Firefox 34 on vapautettu, voit vapaasti poistaa laajennuksen tai poistaa sen.
Jos olet Google Chrome-käyttäjä, voit olla varma siitä, että SSL 3.0 poistetaan käytöstä tulevina kuukausina, vaikka ne eivät vielä ole asettaneet päivämäärää. Jos haluat suojata itsesi nyt, se voidaan tehdä muutamissa yksinkertaisissa vaiheissa. Siirry suoraan Google Chromen työpöydän kuvakkeeseen ja napsauta sitä hiiren kakkospainikkeella ja valitse ponnahdusvalikon alareunasta "Ominaisuudet".
"Ominaisuudet" -ikkunassa näet tekstinsyöttöruudun, joka sanoo "Kohde". Napsauta tätä ruutua ja paina näppäimistön "Lopeta" -painiketta. Seuraavaksi paina "välilyöntiä" ja kopioi ja liitä tämä teksti loppuun.
--ssl-versio-min = tls1
Paina "Apply" ja napsauta sitten "Continue" ponnahdusikkunassa ja paina sitten "OK".
Nyt selaimesi hylkää automaattisesti SSL 3.0 -todistukset ja hyväksyy vain TLS 1.0: n ja uudemman. On syytä huomata, että jos käynnistät Chromen jonkin muun tietokoneesi pikakuvakkeen kautta, se ei käytä tätä lippua.
Microsoft ei ole vielä ilmoittanut, kun he aikovat käsitellä SSL 3.0 -asiakirjaa, joten on parempi poistaa se käytöstä avaamalla Käynnistä-valikon ja kirjoittamalla "Internet-asetukset".
Siirry "Lisäasetukset" -välilehdelle ja selaa alas "Suojaus" -osioksi, kunnes näet SSL- ja TLS-asetukset ja poista sitten Käytä SSL 3.0 -toimintoa ja ota TLS käyttöön.
Näin voit olla varma, että Internet-selaimet ovat kaikki mahdolliset mahdolliset POODLE-hyökkäykset.
Kuvauskenttä: Karen Flickrissä
