poznáme.it Bezpečnosť SSL protokol – ďalšia vážna chyba

SSL protokol – ďalšia vážna chyba

Prednedávnom sme tu mali „kauzu“ s názvom HeartBleed no a v dnešných dňoch sa potykáme ďalšou vážnou zraniteľnosťou. Tento krát priamo protokolu.

Zraniteľnosť nazvaná Poodlebleed je odvodená od skratky Padding Oracle On Downgraded Legacy Encryption. Ide o zraniteľnosť v návrhu protokolu SSL 3.0, ktorý je skoro 15 rokov starý. Zraniteľnosť umožňuje dekryptovať pripojenie do podoby čistého textu. Zraniteľnosť objavili výskumníci z  Google Security Team, konkrétne Bodo Moller v spolupráci s Thai Duong-om a Krzysztof Kotowicz-om.

Zraniteľnosť spočíva v tom, že v prípade, že sa prehliadaču nepodarí vytvoriť pripojenie na novšom protokole SSL (verzie, TLS 1.0,1.1 alebo 1.2), môže sa stať, že sa skúsi pripojiť na starý protokol SSL 3.0.

Útočník dokáže nasimulovať to, nemožnosť pripojiť sa na novšom protokole, a tým pádom prinútiť prehliadač pripojiť sa na starý protokol SSL 3.0 a využiť zraniteľnosť na odchytenie a dekryptovanie komunikácie medzi serverom a klientom.

Ako sa ochrániť pred Poodlebleed-om?

Dôležité je odstaviť prehliadač od používania starého SSL 3.0 protokolu, predpokladám, že v blízkej dobe príde aktualizácia, ktorá úplne vymaže tento protokol z podporovaných protokolov, ale zatiaľ na to treba ísť manuálne. Vypnutie SSL 3.0 alebo CBC metódy šifrovania v SSL 3.0 je dostatočné na zmiernenie tohto problému, avšak môže to predstavovať problém s kompatibilitou serverov používajúcich staré metódy šifrovania. (Zatiaľ som na žiaden nenarazil)

Preto sa odporúča zachovať podporu TLS_FALLBACK_SCSV. Väčšina veľkých prehliadačov bude podporovať TLS_FALLBACK_SCSV aj v nadchádzajúcich mesiacoch. Dovtedy sa môžete chrániť tým, že vyradíte aspoň SSL 3.0 podporu vo vašom prehliadači.

Vo Firefoxe, to môže byť vykonané tým, že pôjdete do about: config a nastavenie security.tls.version.min na 1, prípadne si nainštalujete tento Add-on: https://addons.mozilla.org/sk/firefox/addon/disable-ssl-30/

V Chrome sa v konfigurácii táto možnosť nastaviť nedá, no dá sa však použiť parameter, ktorý nastaví rovnakú vlastnosť aj prehliadaču Chrome. V tom prípade stačí do „Target“ (Slovensky „Cieľ“) programu vložiť parameter  ” –ssl-version-min=tls1” bez úvodzoviek s medzerou a dvomi pomlčkami na začiatku.. Tak ako je to na obrázku nižšie.

Po upravení parametra je dôležité Chrome úplne reštartnúť (CTRL+SHIFT+Q) a spúšťať len cez ikonu, na ktorú ste pridali parameter. Fix pre Chrome je, žiaľ, dosť nepoužiteľný momentálne. Google oznámil, že vydá update, ktorý možnosť vypnutia SSL 3.0 povolí. Zatiaľ však treba používať toto dočasné riešenie.

Pozrieť si status klienta (prehliadača) si môžete na nasledujúcej adrese: https://www.ssllabs.com/ssltest/viewMyClient.html

Rada pre adminov

Týmto by som rád apeloval aj na administrátorov serverov, aby updatovali servery a vypli SSL 3.0 podporu. Test môžu vykonať priamo na adrese: http://poodlebleed.com/.

Dobrý zdroj informácii pre administrátorov je tu: http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566

SSL v neustálych problémoch

SSL má v poslednej dobe  množstvo problémov, na ktoré upozorňuje stránka: http://dayswithoutansslexploit.com/

Odporúčam si ju prečítať. Za tento link patrí vďaka Ondrejovi Jombíkovi, ktorý ma na tento problém upozornil a v ich firme už pracujú na upgrade-och serverov.

Zdroj: http://poodlebleed.com/
Zdroj obrázka: https://blog.rudeotter.com/poodlebleed-explots-ssl-3/


Dobrý článok? Chceš dostávať ďalšie?

Už viac ako 6 200 ITečkárov dostáva správy e-mailom. Nemusíš sa báť, nie každé ráno. Len občasne.



Súhlasím so spracovaním mojich osobných údajov. ( Viac informácií. )

Tvoj email neposkytneme 3tím stranám. Posielame naňho len informácie z robime.it. Kedykoľvek sa môžeš odhlásiť.

React FE Developer

Prejdi s novým projektom na remote! Ovládaš React a obzeráš sa po novom projekte? Pre medzinárodnú IT spoločnosť hľadáme...

Technical Writer / REMOTE

Si Technical Writer a hľadáš zmysluplný projekt, ktorý bude REMOTE? Teraz máš možnosť pomáhať zlepšovať kvalitu života pacientov prostredníctvom...

Junior/Medior DevOps Specialist / App pre solárne elektrárne

Ak si Junior alebo Medior DevOps Specialist, máš šancu vydať sa na cestu zvyšovania efektivity solárnych elektrární. Pracoval by...

DevOps Architect

Ak si alebo máš ambíciu stať sa DevOps Architect-om, zbystri pozornosť. Máme pre teba projekt!Pre medzinárodnú IT spoločnosť hľadáme...

.NET / Angular Developer

NET/Angular Developer má teraz príležitosť prejsť na REMOTE s novým projektom!Pre spoločnosť, ktorá patrí medzi najvýznamnejších producentov informačných systémov...

DevOps Architect

Ak si alebo máš ambíciu stať sa DevOps Architect-om, zbystri pozornosť. Máme pre teba projekt!Pre medzinárodnú IT spoločnosť hľadáme...

Fronted Developer / Aplikácie pre diabetikov

Páčila by sa Ti zmysluplná práca na produkte - aplikácií, ktorá pomáha ľuďom s tým najcennejším, čo majú -...

Bratislavská coworkingová legenda The Spot ožíva

The Spot – prvý bratislavský coworkingový priestor, v ktorom vznikali a sídlili...

Marek Barta: Chcem, aby značka bart.sk pôsobila na trhu ešte desiatky rokov.

Marek Barta, vizionár a viac dizajnér ako programátor pred 15timi rokmi založil IT spoločnosť - bart.sk. Tá...

Ako z neúspechu spraviť dôležitý medzník kariéry?

O tom prehovoria 4 odborníci z rôznorodých pracovných oblastí.

Čítaj ďalej:

Dobrý článok? Chceš dostávať ďalšie?

Už viac ako 6 200 ITečkárov dostáva správy e-mailom. Nemusíš sa báť, nie každé ráno. Len občasne.

Súhlasím so spracovaním mojich osobných údajov. ( Viac informácií. )

Tvoj email neposkytneme 3tím stranám. Posielame naňho len informácie z robime.it. Kedykoľvek sa môžeš odhlásiť.