Teško je zamisliti naše misli oko svih tih internetskih katastrofa kako se javljaju, i kao što smo mislili da je Internet opet siguran nakon što je Heartbleed i Shellshock zaprijetili da će "završiti život kao što znamo", izlazi POODLE.
Nemojte se previše razrađivati jer nije tako prijeteće kao što zvuči. Istina je da je to zabrinjavajuće pitanje, ali postoje jednostavni koraci koje možete poduzeti kako biste zaštitili sebe.
Počnimo u prizemlju. Što je to? Prvo, to znači "Padanje Oraclea na Downgraded Legacy Encryption. "Sigurnosni je problem upravo ono što ime sugerira, protokol koji pretpostavlja iskorištavanje zastarjelog oblika šifriranja. Problem je došao do svjetske pozornosti ovog mjeseca kada je Google objavio rad pod nazivom "Ovaj POODLE Bites: iskorištavanje SSL 3.0 Fallback".
Da biste ovo objasnili jednostavnije, ako napadač koji koristi napad na čovjeka u sredini može preuzeti kontrolu nad usmjerivačem na javnoj hotspotu, oni mogu natjerati vaš preglednik da se ponovo vraća na SSL 3.0 (stariji protokol) umjesto da koristi mnogo više modernih TLS (Transport Layer Security), a zatim iskoristite sigurnosnu rupu u SSL-u kako biste oteli sesije preglednika. Budući da je taj problem u protokolu, to utječe na sve što koristi SSL.
Sve dok poslužitelj i klijent (web preglednik) podržavaju SSL 3.0, napadač može prisiliti na povlačenje u protokol, pa čak i ako vaš preglednik pokuša koristiti TLS, umjesto toga, mora biti prisiljen koristiti SSL. Jedini odgovor je da obje strane ili obje strane uklone podršku za SSL, uklanjajući mogućnost smanjenja.
Ako prvenstveno pretražujete od kuće i ne koristite javne vruće točke, potencijalna šteta je prilično niska, a možete jednostavno poduzeti jednostavne korake navedene kasnije u članku kako biste zaštitili sebe. Ako često koristite javnu žarišnu točku, možda je vrijeme da razmislite o korištenju VPN-a.
Budući da ne postoji način rješavanja problema sa SSL-om, jedino je rješenje za izrađivače preglednika i web-poslužitelje da sve nadogradi kako bi uklonili podršku za SSL i zahtijevaju samo TLS enkripciju.
Google i Firefox već su priopćili da će ubuduće ukloniti podršku, a Microsoftu (iako nismo) čuli isto, iznimno je lako kao krajnji korisnik onemogućiti SSL 3.0 u IE. Većina velikih web tvrtki uklanja podršku za SSL nakon što je taj problem došao na vidjelo, ali to će potrajati neko vrijeme za sve to.
Kao potrošač možete ukloniti podršku za SSL putem preglednika pomoću jedne od načina opisanih u nastavku - ili ako upotrebljavate Firefox ili Google Chrome i ne upotrebljavate vruće točke cijelo vrijeme, možete pričekati da ažurirate preglednik. Ili možete biti sigurni da ste sami riješili problem.
Ako ste korisnik Mozilla Firefoxa, vaši SSL 3.0 zabrinutosti bit će stavljeni u krevet 25. studenog 2014. kada je Fireox 34 pušten. Jedan problem s tim je da još nije studeni i trebate poduzeti korake kako biste se sada zaštitili. Započnite tako da otvorite Firefox preglednik i krenete na stranicu za preuzimanje SSL verzije za preuzimanje u Firefoxu.
Kada je uspješno instaliran, možete unijeti "about: addons" u navigacijsku traku i odabrati nastavak "SSL Version Control". Možete kliknuti na "Opcije" da biste vidjeli postavke za proširenje. Uvjerite se da su "Automatsko ažuriranje" uključene i da je "Minimalna SSL verzija" postavljena na "TLS 1.0"
Nakon izdavanja Firefoxa 34 možete slobodno onemogućiti proširenje ili ga deinstalirati.
Ako ste korisnik Google Chromea, možete biti sigurni da će SSL 3.0 biti deaktiviran u narednim mjesecima, iako još nisu postavili datum. Ako se sada želite zaštititi, to se može učiniti u nekoliko jednostavnih koraka. Jednostavno prijeđite na ikonu radne površine Google Chromea i desnom tipkom miša kliknite na njega, a zatim na popisu s izbornika odaberite "Svojstva".
U prozoru "Svojstva" vidjet ćete okvir za unos teksta koji kaže "Target". Jednostavno kliknite na taj okvir i pritisnite gumb "Završi" na tipkovnici. Zatim pritisnite "razmaknicu" i kopirajte i zalijepite taj tekst na kraj.
--ssl-verzija-min = tls1
Pritisnite "Apply", zatim kliknite "Continue" u skočnom prozoru i pritisnite "OK".
Sada vaš preglednik automatski će odbiti SSL 3.0 certifikate i prihvatiti samo TLS 1.0 i noviju verziju. Valja napomenuti da ako pokrenete Chrome kroz bilo koji drugi prečac na računalu, nećete upotrebljavati ovu zastavicu.
Microsoft još nije najavio kada namjeravaju riješiti problem SSL 3.0 pa je najbolje onesposobiti sami tako što ćete otvoriti izbornik "Start" i upisivanjem "Internet Options".
Idite na karticu "Napredno" i pomaknite se do odjeljka "Sigurnost" dok ne vidite opcije SSL i TLS, a zatim isključite opciju za upotrebu SSL 3.0 i omogućite TLS umjesto toga.
Na taj način možete biti sigurni da su vam internetski preglednici sigurni od mogućih potencijalnih napada MALA.
Slika: Karen na Flickr