ช่องโหว่ POODLE คืออะไรและคุณจะป้องกันตนเองได้อย่างไร
มันยากที่จะห่อหุ้มจิตใจของเรารอบ ๆ หายนะทางอินเทอร์เน็ตทั้งหมดที่เกิดขึ้นและเช่นเดียวกับที่เราคิดว่าอินเทอร์เน็ตมีความปลอดภัยอีกครั้งหลังจาก Heartbleed และ Shellshock ขู่ว่าจะ“ จบชีวิตอย่างที่เรารู้” POODLE ออกมา.
อย่าทำงานหนักเกินไปเพราะมันไม่น่ากลัวเท่าที่ควร ความจริงก็คือมันเป็นปัญหาที่ต้องคำนึงถึง แต่มีขั้นตอนง่าย ๆ ที่คุณสามารถป้องกันตัวเองได้.
พุดเดิ้ลคืออะไร?
เริ่มจากชั้นล่างกัน POODLE คืออะไร ก่อนอื่นมันหมายถึง“Padding Oracle ในการเข้ารหัสแบบดั้งเดิมที่ลดระดับ.” ปัญหาด้านความปลอดภัยเป็นสิ่งที่ชื่อแนะนำซึ่งเป็นการปรับลดโปรโตคอลที่อนุญาตการใช้ประโยชน์จากรูปแบบการเข้ารหัสที่ล้าสมัย ปัญหามาถึงความสนใจของโลกในเดือนนี้เมื่อ Google เปิดตัวกระดาษที่เรียกว่า "กัดพุดเดิ้ลนี้: การใช้ประโยชน์ทางเลือก SSL 3.0 ทางเลือก".
เพื่ออธิบายสิ่งนี้ในเงื่อนไขที่ง่ายกว่าถ้าผู้โจมตีที่ใช้การโจมตีแบบ Man-In-The-Middle สามารถควบคุมเราเตอร์ที่ฮอตสปอตสาธารณะพวกเขาสามารถบังคับให้เบราว์เซอร์ของคุณลดระดับเป็น SSL 3.0 (โปรโตคอลเก่า) แทนการใช้ TLS ที่ทันสมัยกว่านี้มาก (Transport Layer Security) จากนั้นใช้ช่องโหว่ด้านความปลอดภัยใน SSL เพื่อแย่งชิงเซสชันเบราว์เซอร์ของคุณ เนื่องจากปัญหานี้อยู่ในโปรโตคอลสิ่งใดก็ตามที่ใช้ SSL จะได้รับผลกระทบ.
ตราบใดที่ทั้งเซิร์ฟเวอร์และไคลเอนต์ (เว็บเบราว์เซอร์) รองรับ SSL 3.0 ผู้โจมตีสามารถบังคับให้มีการปรับลดรุ่นในโปรโตคอลดังนั้นแม้ว่าเบราว์เซอร์ของคุณจะพยายามใช้ TLS แต่ท้ายที่สุดก็ถูกบังคับให้ใช้ SSL แทน คำตอบเดียวสำหรับทั้งสองข้างหรือทั้งสองด้านเพื่อลบการสนับสนุน SSL, ลบความเป็นไปได้ที่จะถูกลดระดับ.
หากคุณเรียกดูจากที่บ้านเป็นหลักและไม่ใช้ฮอตสปอตสาธารณะโอกาสในการเกิดความเสียหายนั้นค่อนข้างต่ำและคุณสามารถทำตามขั้นตอนง่าย ๆ ที่อธิบายไว้ในบทความเพื่อป้องกันตัวคุณเอง หากคุณใช้ฮอตสปอตสาธารณะบ่อยครั้งอาจถึงเวลานึกถึงการใช้ VPN.
เราจะแก้ปัญหาได้อย่างไร?
เนื่องจากไม่มีวิธีการแก้ไขปัญหาเกี่ยวกับ SSL โซลูชันเดียวคือสำหรับผู้ผลิตเบราว์เซอร์และเว็บเซิร์ฟเวอร์เพื่ออัปเกรดทุกอย่างเพื่อลบการสนับสนุน SSL และต้องการการเข้ารหัส TLS เท่านั้น.
Google และ Firefox ได้ประกาศแล้วว่าพวกเขาจะยกเลิกการสนับสนุนในอนาคตและในขณะที่เรายังไม่เคยได้ยิน (เหมือนกัน) จาก Microsoft มันเป็นเรื่องง่ายมากที่ผู้ใช้ปลายทางจะปิดการใช้งาน SSL 3.0 ใน IE บริษัท เว็บขนาดใหญ่ส่วนใหญ่กำลังยกเลิกการสนับสนุน SSL หลังจากปัญหานี้เริ่มคลี่คลาย แต่จะใช้เวลาสักครู่สำหรับทุกคนที่จะทำเช่นนั้น.
ในฐานะผู้บริโภคคุณสามารถลบการสนับสนุน SSL จากเบราว์เซอร์ของคุณโดยใช้หนึ่งในวิธีการที่ระบุไว้ด้านล่าง - หรือหากคุณใช้ Firefox หรือ Google Chrome และไม่ได้ใช้ฮอตสปอตตลอดเวลาคุณสามารถรอให้อัปเดตเบราว์เซอร์ หรือคุณสามารถตรวจสอบให้แน่ใจว่าคุณได้แก้ไขปัญหาด้วยตัวเองแล้ว.
ปิดการใช้งาน SSL 3.0 ใน Mozilla Firefox
หากคุณเป็นผู้ใช้ Mozilla Firefox ความกังวล SSL 3.0 ของคุณจะเข้านอนในวันที่ 25 พฤศจิกายน 2014 เมื่อมีการเปิดตัว Fireox 34 ปัญหาหนึ่งของปัญหานี้คือยังไม่ได้พฤศจิกายนและคุณต้องดำเนินการเพื่อป้องกันตัวเองในขณะนี้ เริ่มต้นด้วยการเปิดเบราว์เซอร์ Firefox ของคุณและไปที่หน้าดาวน์โหลดการควบคุมเวอร์ชัน SSL ใน Firefox.
เมื่อติดตั้งเรียบร้อยแล้วคุณสามารถป้อน“ about: addons” ลงในแถบนำทางและเลือกส่วนขยาย“ การควบคุมเวอร์ชัน SSL” คุณสามารถคลิกที่ "ตัวเลือก" เพื่อดูการตั้งค่าสำหรับส่วนขยาย ตรวจสอบให้แน่ใจว่า "อัพเดทอัตโนมัติ" เปิดอยู่และตั้งค่า "เวอร์ชั่น SSL ขั้นต่ำ" เป็น "TLS 1.0"
หลังจากเปิดตัว Firefox 34 คุณสามารถปิดการใช้งานส่วนขยายหรือถอนการติดตั้งได้.
ปิดใช้งาน SSL 3.0 ใน Google Chrome
หากคุณเป็นผู้ใช้ Google Chrome คุณสามารถมั่นใจได้ว่า SSL 3.0 จะถูกปิดการใช้งานในไม่กี่เดือนข้างหน้าถึงแม้ว่าพวกเขาจะยังไม่ได้กำหนดวันที่ หากคุณต้องการป้องกันตัวเองในตอนนี้สามารถทำได้ในไม่กี่ขั้นตอนง่ายๆ เพียงไปที่ไอคอนเดสก์ท็อป Google Chrome ของคุณและคลิกขวาจากนั้นเลือก“ คุณสมบัติ” ที่ด้านล่างของเมนูป๊อปอัพ.
ในหน้าต่าง "คุณสมบัติ" คุณจะเห็นกล่องข้อความที่ระบุว่า "เป้าหมาย" เพียงคลิกในกล่องนี้และกดปุ่ม "สิ้นสุด" บนแป้นพิมพ์ของคุณ ถัดไปกด "Spacebar" และคัดลอกและวางข้อความนี้ไปยังจุดสิ้นสุด.
--SSL รุ่นนาที = ล TLS1
กด“ นำไปใช้” จากนั้นคลิก“ ดำเนินการต่อ” ในหน้าต่างป๊อปอัพแล้วกด“ ตกลง”
ตอนนี้เบราว์เซอร์ของคุณจะปฏิเสธใบรับรอง SSL 3.0 โดยอัตโนมัติและยอมรับเฉพาะ TLS 1.0 และสูงกว่า เป็นที่น่าสังเกตว่าถ้าคุณเปิด Chrome ผ่านทางลัดอื่น ๆ บนคอมพิวเตอร์ของคุณมันจะไม่ใช้การตั้งค่าสถานะนี้.
ปิดการใช้งาน SSL 3.0 ใน Internet Explorer
Microsoft ยังไม่ได้ประกาศเมื่อพวกเขาวางแผนที่จะแก้ไขปัญหา SSL 3.0 ดังนั้นจึงเป็นการดีที่สุดที่จะปิดการใช้งานด้วยตนเองโดยเปิดเมนู“ เริ่ม” และพิมพ์ใน“ ตัวเลือกอินเทอร์เน็ต”
ไปที่แท็บ“ ขั้นสูง” และเลื่อนลงไปที่ส่วน“ ความปลอดภัย” จนกว่าคุณจะเห็นตัวเลือก SSL และ TLS จากนั้นยกเลิกการตรวจสอบตัวเลือกสำหรับการใช้ SSL 3.0 และเปิดใช้งาน TLS แทน.
วิธีนี้ทำให้คุณมั่นใจได้ว่าเบราว์เซอร์อินเทอร์เน็ตของคุณปลอดภัยจากการโจมตี POODLE ใด ๆ.
เครดิตภาพ: Karen on Flickr