Πώς να σταματήσετε το POODLE Exploit από το δαγκώνοντας το πρόγραμμα περιήγησης

Διαφήμιση

Διαφήμιση
Διαφήμιση

Πότε οι άνθρωποι δεν μοιάζουν με ένα κουτάβι; Όταν ξέρουν ότι δεν είναι ένα κουτάβι, αλλά ένα πρόγραμμα περιήγησης εκμετάλλευσης που στοχεύει στην κλοπή των ζωτικών πληροφοριών τους. Το POODLE ( P προσθέτοντας το Ocyclone O N D, το οποίο είναι ένα κρυπτογραφημένο σύστημα κρυπτογράφησης) μιλάμε είναι μια σοβαρή επίθεση ασφαλείας.

Ως εκμετάλλευση ασφαλείας, μπορεί να επηρεάσει όλα τα προγράμματα περιήγησης ιστού και συνεπώς ο καθένας από εμάς. Ας μάθουμε τι είναι το POODLE, τι κάνει και τι μπορείτε να κάνετε για να μην το δαγκώσει.

Πληροφορίες φόντου

Για να καταλάβετε το POODLE, πρέπει να γνωρίζετε λίγο για το SSL και το TLS Τι είναι το HTTPS και πώς να ενεργοποιήσετε ασφαλείς συνδέσεις ανά προεπιλογή Τι είναι το HTTPS και πώς να ενεργοποιήσετε ασφαλείς συνδέσεις Ανά προεπιλεγμένες ανησυχίες σχετικά με την ασφάλεια εξαπλώνεται σε βάθος και πλάτος και έχει φτάσει στο προσκήνιο των περισσότερων το μυαλό όλων. Όροι όπως το antivirus ή το τείχος προστασίας δεν είναι πλέον παράξενο λεξιλόγιο και δεν είναι μόνο κατανοητό, αλλά και χρησιμοποιείται από ... Read More. Πρόκειται για δύο κρυπτογραφικά πρωτόκολλα που αναπτύχθηκαν για να σας βοηθήσουν να προστατεύσετε τις σημαντικές διαδικτυακές επικοινωνίες σας. Όταν μεταβαίνετε σε έναν ιστότοπο και βλέπετε το HTTPS: // πριν από τη διεύθυνση ιστού, χρησιμοποιείτε SSL / TLS. Το SSL ( S Sure S ocket L ayer) και το TLS ( T ransport S ecurity L ayer) είναι δύο πολύ διαφορετικά πρωτόκολλα, αλλά οι περισσότεροι απλώς τους χωρίζουν και καλούν SSL. Το SSL αντικαταστάθηκε από το πρωτόκολλο TLS πριν από περίπου δέκα χρόνια ως de facto πρότυπο για την κρυπτογράφηση, ωστόσο το SSL εξακολουθεί να χρησιμοποιείται ευρέως. Αυτό είναι που κάνει το POODLE επικίνδυνο.

Όταν επισκέπτεστε έναν ιστότοπο, ο υπολογιστής που σας εξυπηρετεί (διακομιστής ιστού) είναι ικανός για πολλά επίπεδα ασφαλείας κρυπτογράφησης, οπουδήποτε από το πιο πρόσφατο και ασφαλές πρωτόκολλο TLSv1.2, στο SSLv3, το παλαιότερο και λιγότερο ασφαλές πρωτόκολλο. Αυτό επιτρέπει στο πρόγραμμα περιήγησης και τον διακομιστή ιστού να μπορούν να συνδεθούν με το ίδιο πρωτόκολλο, ώστε να μπορούν να μιλήσουν με ασφάλεια. Αυτός είναι ο θεμελιώδης τρόπος με τον οποίο οι φυλλομετρητές ιστού και οι διακομιστές προσπαθούν να αποτρέψουν τις επιθέσεις "άνθρωπος-στη-μέση". Τι είναι η επίθεση του ανθρώπου στη μέση; Ασφάλεια Jargon Επεξήγηση Τι είναι ένας άνθρωπος-στη-μέση επίθεση; Ασφάλεια Jargon Επεξήγηση Αν έχετε ακούσει για τις επιθέσεις "άνθρωπος-στη-μέση" αλλά δεν είστε σίγουροι τι σημαίνει αυτό, αυτό είναι το άρθρο για εσάς. Διαβάστε περισσότερα, όπως το POODLE.

Τι κάνει το POODLE;

Το POODLE προσπαθεί να επιβάλει τη σύνδεση μεταξύ του προγράμματος περιήγησης ιστού και του διακομιστή για υποβάθμιση σε SSLv3. Εάν το κάνει αυτό, ο επιτιθέμενος μπορεί να πάρει τις πληροφορίες απλού κειμένου από την επικοινωνία. Αυτό σημαίνει ότι μπορούν να αποκτήσουν πρόσβαση σε cookies που χρησιμοποιούνται συχνά για την αποθήκευση πληροφοριών, μερικά από τα οποία θα μπορούσαν να είναι προσωπικά και ευαίσθητα στη φύση. Τι είναι ένα cookie & τι έχει να κάνει με την ιδιωτικότητά μου; [MakeUseOf Εξηγεί] Τι είναι ένα cookie & τι έχει να κάνει με την ιδιωτικότητά μου; [MakeUseOf Εξηγεί] Οι περισσότεροι άνθρωποι γνωρίζουν ότι υπάρχουν μπισκότα διάσπαρτα σε όλο το Διαδίκτυο, έτοιμα και πρόθυμα να καταναλωθούν από όποιον μπορεί να τα βρει πρώτα. ΟΠΑ, τι? Αυτό δεν μπορεί να είναι σωστό. Ναι, υπάρχουν cookies ... Διαβάστε περισσότερα. Αυτό που κάνει ο δράστης με αυτές τις πληροφορίες είναι η εικασία κάποιου, αλλά ποτέ δεν είναι καλό.

Από την κορυφή, η επίθεση POODLE δεν είναι ο ευκολότερος τρόπος για έναν εισβολέα να πάρει τις πληροφορίες σας. Μπορεί να χρειαστούν εκατοντάδες, ακόμη και χιλιάδες, προσπαθεί να πάρει την επίθεση POODLE να δουλέψει σε κάποιον. Έτσι είναι κάτι που πρέπει να ανησυχείτε, ωστόσο δεν είναι κατ 'ανάγκην τόσο κακό όσο το πρόσφατο θέμα της Heartbleed Heartbleed - Τι μπορείτε να κάνετε για να είστε ασφαλείς; Heartbleed - Τι μπορείτε να κάνετε για να μείνετε ασφαλείς; Διαβάστε περισσότερα .

Πώς μπορώ να προστατεύσω τον εαυτό μου από το POODLE;

Ευτυχώς, είναι αρκετά εύκολο να το κάνετε. Πρώτα πράγματα πρώτα, ας δούμε αν είσαι ευάλωτος. Απλά πηγαίνετε στην ιστοσελίδα POODLETest.com. Εάν βλέπετε ένα πόδι, έχετε κάποιους καθαρισμούς για να το κάνετε. Αν δείτε το Springfield Terrier, το πρόγραμμα περιήγησής σας είναι καλό να πάτε. Για όσους είναι περισσότερο τεχνολογικά καταλαβαίνω, ελέγξτε το Qualys SSL Labs 'SSL Client Test. Παρέχει περισσότερες λεπτομερείς λεπτομέρειες.

puddle-not-poodle

Η βασική αρχή είναι να απενεργοποιήσετε την υποστήριξη SSLv3 στο πρόγραμμα περιήγησης ιστού σας. Αν είναι απενεργοποιημένο, το POODLE δεν μπορεί να υποβαθμίσει το πρόγραμμα περιήγησης σε αυτό. Ας δούμε πώς να το κάνετε αυτό στο Chrome, στον Internet Explorer και στον Firefox.

Να γνωρίζετε, πολλές ιστοσελίδες εξακολουθούν να χρησιμοποιούν το SSLv3. Εάν την απενεργοποιήσετε, οι ιστότοποι ενδέχεται να μην λειτουργούν τόσο καλά για εσάς όπως κάποτε. Δεν θα έβλαπτε να στείλει στην εταιρία ένα ωραίο ηλεκτρονικό ταχυδρομείο με σύνδεσμο σε αυτό το άρθρο, ώστε να γνωρίζει το θέμα. Ας ελπίσουμε ότι θα αναβαθμιστούν στο TLS και όλα θα είναι καλά και πάλι.

Χρώμιο

Βρείτε τη συντόμευση που χρησιμοποιείτε για την εκκίνηση του Chrome. Κάντε δεξί κλικ σε αυτό και, στη συνέχεια, κάντε κλικ στην επιλογή Ιδιότητες .

chrome-poodle-step-1

Όταν ανοίξει το παράθυρο Ιδιότητες, βρείτε το πεδίο με το όνομα Target . Θα πρέπει να υπάρχει μια μακρά πορεία προς το σημείο όπου βρίσκεται το αρχείο Chrome. Θα πρέπει να μοιάζει με: "C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" ή "C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" .

chrome-poodle-step-2

Κάντε κλικ αμέσως μετά το τελευταίο σημείο αναφοράς και πατήστε το πλήκτρο διαστήματος για να δημιουργήσετε ένα κενό. Τώρα πληκτρολογήστε τα εξής:

 --ssl-version-min = tls1 

Θα μπορούσατε να το αντιγράψετε και να το επικολλήσετε και από εδώ. Αυτό που λέει στο Chrome είναι να χρησιμοποιήσει το TLSv1 ως τη χαμηλότερη έκδοση ασφαλείας για το πρόγραμμα περιήγησης Chrome. Κάντε κλικ στο κουμπί Εφαρμογή στο κάτω μέρος του παραθύρου και την επόμενη φορά που θα ανοίξετε το Chrome, θα είναι προστατευμένο από το POODLE.

Internet Explorer

Ανοίξτε το πρόγραμμα περιήγησης Internet Explorer και κάντε κλικ στο εικονίδιο Ρυθμίσεις . Είναι αυτό που μοιάζει με ταχύτητα. Τώρα κάντε κλικ στις επιλογές Internet . Θα ανοίξει ένα νέο παράθυρο.

internet-explorer-ie-poodle-step-1

Στην άκρα δεξιά πλευρά, θα δείτε μια καρτέλα με τίτλο Advanced - κάντε κλικ σε αυτήν. Στην περιοχή Ρυθμίσεις, μετακινηθείτε προς τα κάτω μέχρι να δείτε τις επιλογές Χρήση SSL 2.0 και Χρήση SSL 3.0 .

internet-explorer-ie-poodle-step-2

Εάν υπάρχει ένα σημάδι ελέγχου στα δύο αυτά πλαίσια, καταργήστε την επιλογή τους κάνοντας κλικ σε αυτά. Βεβαιωθείτε ότι έχουν επιλεγεί τα πλαίσια με την ένδειξη Use TLS 1.o, Use TLS 1.1 και Use TLS 1.2 . (Αν δεν έχετε και τα τρία από αυτά τα πλαίσια TLS, θα πρέπει να ενημερώσετε τον Internet Explorer.) Στη συνέχεια, κάντε κλικ στο κουμπί Εφαρμογή και στο κουμπί OK . Ο Internet Explorer σας είναι τώρα προστατευμένος από το POODLE.

Firefox

Εάν είστε οπαδός του Firefox, μπορείτε να βοηθήσετε την αλεπού να ξεπεράσει το POODLE. Απλά μεταβείτε στη σελίδα προσθήκης SSL Version Control 0.2 του Firefox και, στη συνέχεια, κάντε λήψη και εγκαταστήστε το πρόσθετο SSL Version Control 0.2. Είναι τόσο εύκολο.

firefox-poodle-ssl-έκδοση-έλεγχος-add-on

Ο Firefox ανακοίνωσε επίσης ότι η επόμενη έκδοση του Firefox 34 θα απενεργοποιήσει την υποστήριξη για το SSLv3. Ωστόσο, αυτή η έκδοση δεν θα κυκλοφορήσει μέχρι κάποια στιγμή τον Νοέμβριο, σύμφωνα με την ιστοσελίδα τους.

Το POODLE θα βρεθεί

Μόλις η πλειοψηφία των ανθρώπων POODLE-απόδειξη τους φυλλομετρητές τους και η πλειοψηφία των web servers σταματήσει να χρησιμοποιεί SSLv3, POODLE δεν θα είναι πλέον ένα πρόβλημα. Υπάρχει επίσης ένα εργαλείο που είναι γνωστό ως TLS_FALLBACK_SCSV το οποίο έχει αναπτυχθεί ότι οι διακομιστές ιστού και οι προγραμματιστές των προγραμμάτων περιήγησης μπορούν να υλοποιήσουν για να βοηθήσουν. Δυστυχώς, το συγκεκριμένο εργαλείο απαιτεί τόσο τον web server όσο και το πρόγραμμα περιήγησης να το έχουν. Αυτό θα πάρει λίγο για να το εφαρμόσουν όλοι. Μόνο τότε το SSLv3 θα περάσει δίπλα στο δρόμο, όπως θα έπρεπε να έχει πριν από μια δεκαετία. Διαδώστε τη λέξη και κάντε το Web ασφαλέστερο.

Εικόνες Credits: Θυμωμένος Poodle, HTTPS Vector Image μέσω του Shutterstock.

In this article