poznáme.it Bezpečnosť SSL protokol – ďalšia vážna chyba

SSL protokol – ďalšia vážna chyba

poodlebleedPrednedávnom sme tu mali „kauzu“ s názvom HeartBleed no a v dnešných dňoch sa potykáme ďalšou vážnou zraniteľnosťou. Tento krát priamo protokolu.

Zraniteľnosť nazvaná Poodlebleed je odvodená od skratky Padding Oracle On Downgraded Legacy Encryption. Ide o zraniteľnosť v návrhu protokolu SSL 3.0, ktorý je skoro 15 rokov starý. Zraniteľnosť umožňuje dekryptovať pripojenie do podoby čistého textu. Zraniteľnosť objavili výskumníci z  Google Security Team, konkrétne Bodo Moller v spolupráci s Thai Duong-om a Krzysztof Kotowicz-om.

Zraniteľnosť spočíva v tom, že v prípade, že sa prehliadaču nepodarí vytvoriť pripojenie na novšom protokole SSL (verzie, TLS 1.0,1.1 alebo 1.2), môže sa stať, že sa skúsi pripojiť na starý protokol SSL 3.0.

Útočník dokáže nasimulovať to, nemožnosť pripojiť sa na novšom protokole, a tým pádom prinútiť prehliadač pripojiť sa na starý protokol SSL 3.0 a využiť zraniteľnosť na odchytenie a dekryptovanie komunikácie medzi serverom a klientom.

Ako sa ochrániť pred Poodlebleed-om?

Dôležité je odstaviť prehliadač od používania starého SSL 3.0 protokolu, predpokladám, že v blízkej dobe príde aktualizácia, ktorá úplne vymaže tento protokol z podporovaných protokolov, ale zatiaľ na to treba ísť manuálne. Vypnutie SSL 3.0 alebo CBC metódy šifrovania v SSL 3.0 je dostatočné na zmiernenie tohto problému, avšak môže to predstavovať problém s kompatibilitou serverov používajúcich staré metódy šifrovania. (Zatiaľ som na žiaden nenarazil)

Preto sa odporúča zachovať podporu TLS_FALLBACK_SCSV. Väčšina veľkých prehliadačov bude podporovať TLS_FALLBACK_SCSV aj v nadchádzajúcich mesiacoch. Dovtedy sa môžete chrániť tým, že vyradíte aspoň SSL 3.0 podporu vo vašom prehliadači.

Vo Firefoxe, to môže byť vykonané tým, že pôjdete do about: config a nastavenie security.tls.version.min na 1, prípadne si nainštalujete tento Add-on: https://addons.mozilla.org/sk/firefox/addon/disable-ssl-30/

V Chrome sa v konfigurácii táto možnosť nastaviť nedá, no dá sa však použiť parameter, ktorý nastaví rovnakú vlastnosť aj prehliadaču Chrome. V tom prípade stačí do „Target“ (Slovensky „Cieľ“) programu vložiť parameter  ” –ssl-version-min=tls1” bez úvodzoviek s medzerou a dvomi pomlčkami na začiatku.. Tak ako je to na obrázku nižšie.

Poodlebleed-chrome

Po upravení parametra je dôležité Chrome úplne reštartnúť (CTRL+SHIFT+Q) a spúšťať len cez ikonu, na ktorú ste pridali parameter. Fix pre Chrome je, žiaľ, dosť nepoužiteľný momentálne. Google oznámil, že vydá update, ktorý možnosť vypnutia SSL 3.0 povolí. Zatiaľ však treba používať toto dočasné riešenie.

Pozrieť si status klienta (prehliadača) si môžete na nasledujúcej adrese: https://www.ssllabs.com/ssltest/viewMyClient.html

Rada pre adminov

Týmto by som rád apeloval aj na administrátorov serverov, aby updatovali servery a vypli SSL 3.0 podporu. Test môžu vykonať priamo na adrese: http://poodlebleed.com/.

Dobrý zdroj informácii pre administrátorov je tu: http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566

SSL v neustálych problémoch

SSL má v poslednej dobe  množstvo problémov, na ktoré upozorňuje stránka: http://dayswithoutansslexploit.com/

Odporúčam si ju prečítať. Za tento link patrí vďaka Ondrejovi Jombíkovi, ktorý ma na tento problém upozornil a v ich firme už pracujú na upgrade-och serverov.

Zdroj: http://poodlebleed.com/
Zdroj obrázka: https://blog.rudeotter.com/poodlebleed-explots-ssl-3/


Dobrý článok? Chceš dostávať ďalšie?

Už viac ako 6 200 ITečkárov dostáva správy e-mailom. Nemusíš sa báť, nie každé ráno. Len občasne.



Súhlasím so spracovaním mojich osobných údajov. ( Viac informácií. )

Tvoj email neposkytneme 3tím stranám. Posielame naňho len informácie z robime.it. Kedykoľvek sa môžeš odhlásiť.

Ľuboš Beran
Ľuboš Beranhttp://www.detroit.sk
Venujem sa vývoju prevažne webových aplikácii založených na open-source riešeniach (Node.JS, PHP...), no vo voľnom čase ma baví najmä bezpečnosť a riešenie CME (crack me) hlavolamov a problematiky okolo IoT.

IT Analytik/čka

IT Analytik/čka | Bankovníctvo | TPP | Bratislava Pracuj pre NAJ zamestnávateľa v oblasti bankovníctva na mobilnej aplikácií s množstvom...

Frontend/ React Developer

Pracuj podľa vlastných pravidiel, slobodne a kreatívne. Pre Frontend Developera máme 12+ mesačný projekt pre prepravnú spoločnosť. Práca je na...

Backend / .Net, C# Developer

Pracuj podľa vlastných pravidiel, slobodne a kreatívne. Pre Backend Developera máme 12+ mesačný projekt pre prepravnú spoločnosť. Práca je na...

C/C++ Developer

Chce to niečo výnimočné? Zmeň prostredie a získaj nadšenie z práce! Spoločnosť, ktorá vyvíja hardvérové čipy hľadá C/C++ Developera. Zakladateľ...

Data Scientist / REMOTE

Pre mladý startup vyvíjajúci softvér, ktorý prispieva hráčom k lepšiemu zážitku z hrania, hľadáme Data Scientist. Založili ho dvaja...

IT Aplikačný Architekt

Chceš stabilné zamestnanie, vychutnávať si skvelý kolektív a mať priestor na realizáciu svojich riešení? Pre spoločnosť pôsobiacu v energetike...

Front End Developer

Pracuj na svetovom SW produkte, ktorý je používaný miliónmi používateľov! Firma rýchlo rastie a vyvíja nové features. Poznáme ich prostredie...

Máte vo firemných stretnutiach chaos? Česká firma našla riešenie, teraz s aplikáciou dobývajú svet

Vyvíjajú ju v Českej republike, pracujú na nej aj hendikepovaní kolegovia a používajú ju firmy v rôznych krajinách sveta....

Ondrej Kubovič – Digitálna bezpečnosť a riziká na internete

Tentokrát sme sa porozprávali s Ondrejom Kubovičom, špecialistom v spoločnosti ESET na populárnu tému digitálnej bezpečnosti. Ondrej nám uviedol...

Slovenskí tvorcovia hier dosiahli v roku 2020 rekordný obrat 72 miliónov EUR, zamestnávali 870 ľudí

Slovenský herný priemysel nezastavila ani pandémia, v roku 2020 opäť výrazne rástol. Podľa štatistík Slovak Game Developers Association prekonal...

Čítaj ďalej:

Dobrý článok? Chceš dostávať ďalšie?

Už viac ako 6 200 ITečkárov dostáva správy e-mailom. Nemusíš sa báť, nie každé ráno. Len občasne.

Súhlasím so spracovaním mojich osobných údajov. ( Viac informácií. )

Tvoj email neposkytneme 3tím stranám. Posielame naňho len informácie z robime.it. Kedykoľvek sa môžeš odhlásiť.