SSL protokol – ďalšia vážna chyba

255

poodlebleedPrednedávnom sme tu mali „kauzu“ s názvom HeartBleed no a v dnešných dňoch sa potykáme ďalšou vážnou zraniteľnosťou. Tento krát priamo protokolu.

Zraniteľnosť nazvaná Poodlebleed je odvodená od skratky Padding Oracle On Downgraded Legacy Encryption. Ide o zraniteľnosť v návrhu protokolu SSL 3.0, ktorý je skoro 15 rokov starý. Zraniteľnosť umožňuje dekryptovať pripojenie do podoby čistého textu. Zraniteľnosť objavili výskumníci z  Google Security Team, konkrétne Bodo Moller v spolupráci s Thai Duong-om a Krzysztof Kotowicz-om.

Zraniteľnosť spočíva v tom, že v prípade, že sa prehliadaču nepodarí vytvoriť pripojenie na novšom protokole SSL (verzie, TLS 1.0,1.1 alebo 1.2), môže sa stať, že sa skúsi pripojiť na starý protokol SSL 3.0.

Útočník dokáže nasimulovať to, nemožnosť pripojiť sa na novšom protokole, a tým pádom prinútiť prehliadač pripojiť sa na starý protokol SSL 3.0 a využiť zraniteľnosť na odchytenie a dekryptovanie komunikácie medzi serverom a klientom.

Ako sa ochrániť pred Poodlebleed-om?

Dôležité je odstaviť prehliadač od používania starého SSL 3.0 protokolu, predpokladám, že v blízkej dobe príde aktualizácia, ktorá úplne vymaže tento protokol z podporovaných protokolov, ale zatiaľ na to treba ísť manuálne. Vypnutie SSL 3.0 alebo CBC metódy šifrovania v SSL 3.0 je dostatočné na zmiernenie tohto problému, avšak môže to predstavovať problém s kompatibilitou serverov používajúcich staré metódy šifrovania. (Zatiaľ som na žiaden nenarazil)

Preto sa odporúča zachovať podporu TLS_FALLBACK_SCSV. Väčšina veľkých prehliadačov bude podporovať TLS_FALLBACK_SCSV aj v nadchádzajúcich mesiacoch. Dovtedy sa môžete chrániť tým, že vyradíte aspoň SSL 3.0 podporu vo vašom prehliadači.

Vo Firefoxe, to môže byť vykonané tým, že pôjdete do about: config a nastavenie security.tls.version.min na 1, prípadne si nainštalujete tento Add-on: https://addons.mozilla.org/sk/firefox/addon/disable-ssl-30/

V Chrome sa v konfigurácii táto možnosť nastaviť nedá, no dá sa však použiť parameter, ktorý nastaví rovnakú vlastnosť aj prehliadaču Chrome. V tom prípade stačí do „Target“ (Slovensky „Cieľ“) programu vložiť parameter  ” –ssl-version-min=tls1” bez úvodzoviek s medzerou a dvomi pomlčkami na začiatku.. Tak ako je to na obrázku nižšie.

Poodlebleed-chrome

Po upravení parametra je dôležité Chrome úplne reštartnúť (CTRL+SHIFT+Q) a spúšťať len cez ikonu, na ktorú ste pridali parameter. Fix pre Chrome je, žiaľ, dosť nepoužiteľný momentálne. Google oznámil, že vydá update, ktorý možnosť vypnutia SSL 3.0 povolí. Zatiaľ však treba používať toto dočasné riešenie.

Pozrieť si status klienta (prehliadača) si môžete na nasledujúcej adrese: https://www.ssllabs.com/ssltest/viewMyClient.html

Rada pre adminov

Týmto by som rád apeloval aj na administrátorov serverov, aby updatovali servery a vypli SSL 3.0 podporu. Test môžu vykonať priamo na adrese: http://poodlebleed.com/.

Dobrý zdroj informácii pre administrátorov je tu: http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566

SSL v neustálych problémoch

SSL má v poslednej dobe  množstvo problémov, na ktoré upozorňuje stránka: http://dayswithoutansslexploit.com/

Odporúčam si ju prečítať. Za tento link patrí vďaka Ondrejovi Jombíkovi, ktorý ma na tento problém upozornil a v ich firme už pracujú na upgrade-och serverov.

Zdroj: http://poodlebleed.com/
Zdroj obrázka: https://blog.rudeotter.com/poodlebleed-explots-ssl-3/

Dobrý článok? Chceš dostávať ďalšie?

Už viac ako 6 200 ITečkárov dostáva správy e-mailom. Nemusíš sa báť, nie každé ráno. Len občasne.

Súhlasím so spracovaním mojich osobných údajov. ( Viac informácií. )

Tvoj email neposkytneme 3tím stranám. Posielame naňho len informácie z robime.it. Kedykoľvek sa môžeš odhlásiť.