Apakah Kelemahan POODLE dan Bagaimana Anda Boleh Melindungi Diri Anda?
Sukar untuk membungkus minda kita di sekeliling semua malapetaka Internet seperti yang berlaku, dan seperti yang kita fikir Internet adalah selamat lagi selepas Heartbleed dan Shellshock mengancam untuk "mengakhiri hidup seperti yang kita tahu", keluar adalah POODLE.
Jangan terlalu bekerja kerana ia tidak menacing seperti bunyi. Sebenarnya ia adalah satu perkara yang perlu diambil perhatian, tetapi ada langkah-langkah mudah yang boleh anda ambil untuk melindungi diri anda.
Apa itu POODLE?
Mari bermula di tingkat bawah. Apa itu POODLE? Pertama, ia bermaksud "Oracle Padding Pada Penurunan Legacy Encryption."Isu keselamatan adalah apa yang namanya namanya, penurunan protokol yang membolehkan eksploitasi pada bentuk penyulitan yang ketinggalan jaman. Isu ini datang ke perhatian dunia pada bulan ini ketika Google mengeluarkan sebuah kertas yang disebut "Gigitan PUNUNG: Mengeksploitasi SSL 3.0 Fallback".
Untuk menjelaskannya dengan istilah yang lebih mudah, jika penyerang menggunakan serangan Man-In-The-Middle boleh mengawal penghala di hotspot awam, mereka boleh memaksa penyemak imbas anda turun ke SSL 3.0 (protokol yang lebih lama) dan bukan menggunakan jauh lebih moden TLS (Transport Layer Security), dan kemudian mengeksploitasi lubang keselamatan dalam SSL untuk merampas sesi penyemak imbas anda. Oleh kerana masalah ini dalam protokol, apa-apa yang menggunakan SSL terjejas.
Selagi pelayan dan klien (penyemak imbas web) menyokong SSL 3.0, penyerang boleh memaksa penurunan dalam protokol, jadi walaupun penyemak imbas anda menggunakan TLS, ia akhirnya terpaksa menggunakan SSL. Satu-satunya jawapan adalah untuk kedua-dua belah pihak atau kedua-dua pihak untuk menghapuskan sokongan untuk SSL, menghapuskan kemungkinan diturunkan.
Sekiranya anda melayari dari rumah dan tidak menggunakan hotspot awam, potensi kerosakan cukup rendah, dan anda hanya boleh mengambil langkah-langkah mudah yang digariskan kemudian dalam artikel untuk melindungi diri anda. Sekiranya anda sering menggunakan hotspot awam, mungkin masa untuk berfikir tentang menggunakan VPN.
Bagaimana Kami Boleh Menyelesaikan Masalah?
Oleh kerana tidak ada cara untuk menyelesaikan masalah dengan SSL, satu-satunya penyelesaian adalah untuk pembuat pelayar dan pelayan web untuk menaik taraf segala-galanya untuk menghapuskan sokongan untuk SSL dan memerlukan hanya penyulitan TLS.
Google dan Firefox telah mengumumkan bahawa mereka akan menghilangkan sokongan pada masa akan datang dan sementara kami belum mendengarnya dari Microsoft, itu sangat mudah sebagai pengguna akhir untuk melumpuhkan SSL 3.0 di IE. Kebanyakan syarikat web besar sedang menghilangkan sokongan untuk SSL selepas masalah ini menjadi terang, tetapi akan mengambil sedikit masa untuk semua orang melakukannya.
Sebagai pengguna, anda boleh mengalih keluar sokongan untuk SSL dari penyemak imbas anda menggunakan salah satu kaedah yang digariskan di bawah ini - atau jika anda menggunakan Firefox atau Google Chrome dan tidak menggunakan hotspot sepanjang masa, anda boleh menunggu mereka mengemas kini penyemak imbas. Atau anda boleh memastikan bahawa anda telah menyelesaikan masalah itu sendiri.
Melumpuhkan SSL 3.0 di Mozilla Firefox
Jika anda seorang pengguna Mozilla Firefox, kebimbangan SSL 3.0 anda akan diletakkan di atas katil pada 25 November 2014 apabila Fireox 34 dikeluarkan. Satu masalah dengan ini adalah bahawa ia belum November dan anda perlu mengambil tindakan untuk melindungi diri anda sekarang. Mulailah dengan membuka pelayar Firefox anda dan navigasi ke halaman muat turun Kawalan Versi SSL di Firefox.
Apabila ia telah berjaya dipasang, anda boleh memasukkan "about: addons" ke dalam bar navigasi dan pilih sambungan "Kawalan Versi SSL". Anda boleh mengklik pada "Pilihan" untuk melihat tetapan untuk pelanjutan. Pastikan "Kemas Kini Automatik" sedang aktif dan bahawa "Versi SSL Minimum" ditetapkan kepada "TLS 1.0"
Selepas Firefox 34 telah dikeluarkan, anda boleh berasa bebas untuk melumpuhkan sambungan atau menyahpasangnya.
Melumpuhkan SSL 3.0 di Google Chrome
Jika anda adalah pengguna Google Chrome, anda boleh yakin bahawa SSL 3.0 akan dilumpuhkan dalam beberapa bulan yang akan datang, walaupun mereka belum lagi menetapkan tarikh. Sekiranya anda ingin melindungi diri anda sekarang, ia boleh dilakukan dalam beberapa langkah mudah. Cukup pergi ke ikon desktop Google Chrome anda dan klik kanan padanya kemudian pilih "Properties" di bahagian bawah menu popup.
Dalam tetingkap "Properties" anda akan melihat kotak input teks yang mengatakan "Sasaran." Cukup klik di dalam kotak ini dan tekan butang "Akhir" pada keyboard anda. Seterusnya, tekan "Bar ruang" dan salin dan tampal teks ini ke hujungnya.
--ssl-version-min = tls1
Tekan "Apply" kemudian klik "Continue" dalam tetingkap popup kemudian tekan "OK."
Kini penyemak imbas anda secara automatik akan menolak sijil SSL 3.0 dan hanya menerima TLS 1.0 dan lebih tinggi. Perlu diperhatikan bahawa jika anda melancarkan Chrome melalui mana-mana jalan pintas lain pada komputer anda, ia tidak akan menggunakan bendera ini.
Melumpuhkan SSL 3.0 di Internet Explorer
Microsoft belum lagi mengumumkan apabila mereka merancang untuk menangani isu SSL 3.0 jadi lebih baik untuk melumpuhkannya sendiri dengan membuka menu "Mula" dan menaip "Opsyen Internet."
Pergi ke tab "Lanjutan" dan tatal ke bahagian "Keamanan" sehingga anda melihat pilihan SSL dan TLS, dan kemudian semak pilihan untuk Gunakan SSL 3.0, dan dayakan TLS.
Dengan cara ini, anda boleh memastikan bahawa penyemak imbas Internet anda selamat dari sebarang serangan POODLE yang berpotensi.
Image Credit: Karen on Flickr