Lỗ hổng POODLE là gì và bạn có thể tự bảo vệ mình như thế nào?
Thật khó để bao bọc tâm trí của chúng ta xung quanh tất cả những thảm họa Internet này khi chúng xảy ra, và đúng như chúng ta nghĩ rằng Internet đã được bảo mật một lần nữa sau khi Heartbleed và Shellshock đe dọa đến cuộc sống cuối cùng như chúng ta biết,.
Đừng làm việc quá sức vì nó không đáng sợ như âm thanh. Sự thật là đây là một vấn đề cần quan tâm, nhưng có những bước đơn giản bạn có thể thực hiện để bảo vệ chính mình.
THỰC PHẨM là gì?
Hãy bắt đầu ở tầng trệt. THỰC PHẨM là gì? Trước hết, nó là viết tắt của cụm từĐệm Oracle trên mã hóa di sản bị hạ cấp.Vấn đề bảo mật chính xác là những gì mà tên gợi ý, hạ cấp giao thức cho phép khai thác trên một hình thức mã hóa lỗi thời. Vấn đề đã thu hút sự chú ý của thế giới trong tháng này khi Google phát hành một bài báo có tên là This This POODLE Bites: Khai thác SSL 3.0 Fallback tựa.
Để giải thích điều này một cách đơn giản hơn, nếu kẻ tấn công sử dụng cuộc tấn công Man-In-The-Middle có thể kiểm soát bộ định tuyến tại điểm truy cập công cộng, họ có thể buộc trình duyệt của bạn hạ cấp xuống SSL 3.0 (giao thức cũ hơn) thay vì sử dụng TLS (Transport Layer Security) hiện đại hơn nhiều, và sau đó khai thác lỗ hổng bảo mật trong SSL để chiếm quyền điều khiển các phiên trình duyệt của bạn. Vì vấn đề này nằm ở giao thức, nên mọi thứ sử dụng SSL đều bị ảnh hưởng.
Miễn là cả máy chủ và máy khách (trình duyệt web) đều hỗ trợ SSL 3.0, kẻ tấn công có thể buộc hạ cấp giao thức, vì vậy ngay cả khi trình duyệt của bạn cố gắng sử dụng TLS, cuối cùng nó vẫn bị buộc phải sử dụng SSL. Câu trả lời duy nhất là cho cả hai bên hoặc cả hai bên để loại bỏ hỗ trợ cho SSL, loại bỏ khả năng bị hạ cấp.
Nếu bạn chủ yếu duyệt từ nhà và không sử dụng các điểm nóng công cộng, khả năng thiệt hại là khá thấp và bạn chỉ có thể thực hiện các bước dễ dàng được nêu sau trong bài viết để bảo vệ chính mình. Nếu bạn thường sử dụng một điểm truy cập công cộng, có lẽ đã đến lúc suy nghĩ về việc sử dụng VPN.
Làm thế nào chúng ta có thể giải quyết vấn đề?
Vì không có cách nào giải quyết vấn đề với SSL, giải pháp duy nhất là các nhà sản xuất trình duyệt và máy chủ web nâng cấp mọi thứ để xóa hỗ trợ cho SSL và chỉ yêu cầu mã hóa TLS.
Google và Firefox đã thông báo rằng họ sẽ xóa hỗ trợ trong tương lai và trong khi chúng tôi chưa nghe thấy điều tương tự từ Microsoft, thì việc người dùng cuối vô hiệu hóa SSL 3.0 trong IE là vô cùng dễ dàng. Hầu hết các công ty web lớn đang loại bỏ hỗ trợ cho SSL sau khi vấn đề này được đưa ra, nhưng sẽ mất một thời gian để mọi người làm như vậy.
Là người tiêu dùng, bạn có thể xóa hỗ trợ SSL khỏi trình duyệt của mình bằng một trong các phương pháp được nêu dưới đây - hoặc nếu bạn đang sử dụng Firefox hoặc Google Chrome và không sử dụng các điểm nóng mọi lúc, bạn có thể đợi họ cập nhật trình duyệt. Hoặc bạn có thể chắc chắn rằng bạn đã tự khắc phục sự cố.
Vô hiệu hóa SSL 3.0 trong Mozilla Firefox
Nếu bạn là người dùng Mozilla Firefox, mối quan tâm SSL 3.0 của bạn sẽ được đưa vào giường vào ngày 25 tháng 11 năm 2014 khi Fireox 34 được phát hành. Một vấn đề với điều này là chưa đến tháng 11 và bạn cần phải hành động để bảo vệ chính mình ngay bây giờ. Bắt đầu bằng cách mở trình duyệt Firefox của bạn và điều hướng đến trang tải xuống Kiểm soát Phiên bản SSL trong Firefox.
Khi nó đã được cài đặt thành công, bạn có thể nhập vào Giới thiệu về: addons, vào thanh điều hướng và chọn tiện ích mở rộng Điều khiển phiên bản SSL SSL. Bạn có thể nhấp vào Tùy chọn của Wap để xem các cài đặt cho tiện ích mở rộng. Đảm bảo rằng các bản cập nhật tự động của người dùng đã được bật và phiên bản SSL tối thiểu của SSL được đặt thành Thẻ TLS 1.0.
Sau khi Firefox 34 được phát hành, bạn có thể thoải mái tắt tiện ích mở rộng hoặc gỡ cài đặt nó.
Vô hiệu hóa SSL 3.0 trong Google Chrome
Nếu bạn là người dùng Google Chrome, bạn có thể yên tâm rằng SSL 3.0 sẽ bị vô hiệu hóa trong những tháng tới, mặc dù họ chưa đặt ngày. Nếu bạn muốn bảo vệ bản thân ngay bây giờ, nó có thể được thực hiện trong một vài bước đơn giản. Chỉ cần truy cập biểu tượng máy tính để bàn Google Chrome của bạn và nhấp chuột phải vào biểu tượng đó, sau đó chọn Thuộc tính trực tuyến ở cuối trình đơn bật lên.
Trong cửa sổ của Properties Properties, bạn sẽ thấy một hộp nhập văn bản có tên là Target Target. Đơn giản chỉ cần nhấp vào hộp này và nhấn nút End End trên bàn phím của bạn. Tiếp theo, nhấn phím cách Spacebar và sao chép và dán văn bản này vào cuối.
--ssl-version-min = tls1
Nhấn vào Áp dụng, sau đó bấm vào Tiếp tục vào trong cửa sổ bật lên, sau đó nhấn vào OK.
Bây giờ trình duyệt của bạn sẽ tự động từ chối chứng chỉ SSL 3.0 và chỉ chấp nhận TLS 1.0 trở lên. Điều đáng chú ý là nếu bạn khởi chạy Chrome thông qua bất kỳ lối tắt nào khác trên máy tính của mình, nó sẽ không sử dụng cờ này.
Vô hiệu hóa SSL 3.0 trong Internet Explorer
Microsoft vẫn chưa thông báo khi họ có kế hoạch giải quyết vấn đề SSL 3.0, vì vậy tốt nhất bạn nên tự vô hiệu hóa nó bằng cách mở trình đơn Bắt đầu của bạn và nhập vào Tùy chọn Internet.
Chuyển đến tab Cốt nâng cao và cuộn xuống phần Phần mềm bảo mật cho đến khi bạn thấy các tùy chọn SSL và TLS, sau đó bỏ chọn tùy chọn Sử dụng SSL 3.0 và thay vào đó hãy bật TLS.
Bằng cách này, bạn có thể chắc chắn rằng tất cả các trình duyệt Internet của bạn đều an toàn trước mọi cuộc tấn công POODLE tiềm năng.
Tín dụng hình ảnh: Karen trên Flickr