Wat is de POODLE-kwetsbaarheid en hoe kunt u uzelf beschermen?
Het is moeilijk om ons hoofd te bedenken rond al deze internetrampjes terwijl ze zich voordoen, en net zoals we dachten dat het internet weer veilig was nadat Heartbleed en Shellshock gedreigd hadden met "een einde te maken aan het leven zoals we het kennen", komt er uit POODLE.
Raak niet te op omdat het niet zo dreigend is als het klinkt. De waarheid is dat het een probleem is om je zorgen over te maken, maar er zijn eenvoudige stappen die je kunt nemen om jezelf te beschermen.
Wat is POODLE?
Laten we beginnen op de begane grond. Wat is POODLE? Ten eerste staat het voor "Opvullen van Oracle op gedeclasseerde verouderde versleuteling."Het beveiligingsprobleem is precies wat de naam doet vermoeden, een protocol-downgrade die exploits op een verouderde vorm van codering mogelijk maakt. Het probleem kwam deze maand ter wereld de aandacht toen Google een paper uitbracht genaamd "This POODLE Bites: Exploiting The SSL 3.0 Fallback".
Om dit in eenvoudiger bewoordingen uit te leggen, kan een aanvaller die een Man-in-the-Middle-aanval gebruikt, de controle over een router op een openbare hotspot overnemen, dan kunnen ze je browser dwingen om te downgraden naar SSL 3.0 (een ouder protocol) in plaats van de veel modernere TLS (Transport Layer Security) en misbruik vervolgens een beveiligingslek in SSL om uw browsersessies te kapen. Aangezien dit probleem in het protocol voorkomt, wordt alles beïnvloed dat SSL gebruikt.
Zolang zowel de server als de client (webbrowser) SSL 3.0 ondersteunen, kan de aanvaller een downgrade in het protocol afdwingen, dus zelfs als uw browser TLS probeert te gebruiken, wordt het uiteindelijk gedwongen om SSL te gebruiken. Het enige antwoord is voor beide partijen of beide partijen om ondersteuning voor SSL te verwijderen, waardoor de mogelijkheid om te worden gedowngraded, wordt verwijderd.
Als u voornamelijk vanuit huis bladert en geen openbare hotspots gebruikt, is de kans op schade vrij laag en kunt u de eenvoudige stappen nemen die later in het artikel worden beschreven om uzelf te beschermen. Als u vaak een openbare hotspot gebruikt, is het misschien tijd om na te denken over het gebruik van een VPN.
Hoe kunnen we het probleem oplossen?
Aangezien er geen manier is om de problemen met SSL op te lossen, is de enige oplossing voor browsermakers en webservers om alles te upgraden om ondersteuning voor SSL te verwijderen en alleen TLS-codering te vereisen.
Google en Firefox hebben al aangekondigd dat ze in de toekomst support zullen verwijderen en hoewel we (nog) niet hetzelfde hebben gehoord van Microsoft, is het uiterst eenvoudig als eindgebruiker om SSL 3.0 in IE uit te schakelen. De meeste grote internetbedrijven verwijderen de ondersteuning voor SSL nadat dit probleem aan het licht kwam, maar het zal een tijdje duren voordat iedereen dit doet.
Als consument kunt u ondersteuning voor SSL uit uw browser verwijderen met behulp van een van de onderstaande methoden - of als u Firefox of Google Chrome gebruikt en niet altijd hotspots gebruikt, kunt u wachten totdat ze de browser hebben bijgewerkt. Of u kunt ervoor zorgen dat u het probleem zelf hebt opgelost.
SSL 3.0 uitschakelen in Mozilla Firefox
Als u een Mozilla Firefox-gebruiker bent, worden uw SSL 3.0-zorgen naar de bedden gebracht op 25 november 2014 wanneer Fireox 34 wordt uitgebracht. Het enige probleem hiermee is dat het nog geen november is en dat je actie moet ondernemen om jezelf nu te beschermen. Begin met het openen van uw Firefox-browser en ga naar de downloadpagina voor SSL-versiebeheer in Firefox.
Als het met succes is geïnstalleerd, kunt u "about: addons" in de navigatiebalk invoeren en de extensie "SSL-versiegesturing" selecteren. U kunt klikken op "Opties" om de instellingen voor de extensie te bekijken. Zorg ervoor dat de "Automatische Updates" aan staan en dat de "Minimale SSL-versie" is ingesteld op "TLS 1.0"
Nadat Firefox 34 is uitgebracht, kunt u de extensie uitschakelen of de installatie ongedaan maken.
SSL 3.0 uitschakelen in Google Chrome
Als u een Google Chrome-gebruiker bent, kunt u er zeker van zijn dat SSL 3.0 de komende maanden wordt uitgeschakeld, hoewel ze nog geen datum hebben ingesteld. Als je jezelf nu wilt beschermen, kan het in een paar eenvoudige stappen worden gedaan. Ga gewoon naar uw Google Chrome-bureaubladpictogram en klik er met de rechtermuisknop op en selecteer vervolgens "Eigenschappen" onderaan het pop-upmenu.
In het venster "Eigenschappen" ziet u een tekstinvoervak met de tekst "Doel". Klik gewoon in dit vak en druk op de knop "Einde" op uw toetsenbord. Druk vervolgens op de "Spatiebalk" en kopieer en plak deze tekst aan het einde.
--ssl-versie-min = TLS1
Druk op "Toepassen" en klik vervolgens op "Doorgaan" in het pop-upvenster en druk vervolgens op "OK".
Uw browser zal nu automatisch SSL 3.0-certificaten weigeren en alleen TLS 1.0 en hoger accepteren. Het is vermeldenswaard dat als u Chrome start via een andere snelkoppeling op uw computer, deze vlag niet wordt gebruikt.
SSL 3.0 uitschakelen in Internet Explorer
Microsoft heeft nog niet aangekondigd dat ze van plan zijn het SSL 3.0-probleem aan te pakken, dus het is het beste om het zelf uit te schakelen door het menu "Start" te openen en "Internetopties" te typen.
Ga naar het tabblad "Geavanceerd" en scrol omlaag naar het gedeelte "Beveiliging" totdat u de SSL- en TLS-opties ziet en schakel vervolgens de optie voor Gebruik SSL 3.0 uit en schakel in plaats daarvan TLS in.
Op deze manier kunt u er zeker van zijn dat uw internetbrowsers allemaal beveiligd zijn tegen mogelijke POODLE-aanvallen.
Image Credit: Karen op Flickr