poznáme.it Bezpečnosť SSL protokol – ďalšia vážna chyba

SSL protokol – ďalšia vážna chyba

Prednedávnom sme tu mali „kauzu“ s názvom HeartBleed no a v dnešných dňoch sa potykáme ďalšou vážnou zraniteľnosťou. Tento krát priamo protokolu.

Zraniteľnosť nazvaná Poodlebleed je odvodená od skratky Padding Oracle On Downgraded Legacy Encryption. Ide o zraniteľnosť v návrhu protokolu SSL 3.0, ktorý je skoro 15 rokov starý. Zraniteľnosť umožňuje dekryptovať pripojenie do podoby čistého textu. Zraniteľnosť objavili výskumníci z  Google Security Team, konkrétne Bodo Moller v spolupráci s Thai Duong-om a Krzysztof Kotowicz-om.

Zraniteľnosť spočíva v tom, že v prípade, že sa prehliadaču nepodarí vytvoriť pripojenie na novšom protokole SSL (verzie, TLS 1.0,1.1 alebo 1.2), môže sa stať, že sa skúsi pripojiť na starý protokol SSL 3.0.

Útočník dokáže nasimulovať to, nemožnosť pripojiť sa na novšom protokole, a tým pádom prinútiť prehliadač pripojiť sa na starý protokol SSL 3.0 a využiť zraniteľnosť na odchytenie a dekryptovanie komunikácie medzi serverom a klientom.

Ako sa ochrániť pred Poodlebleed-om?

Dôležité je odstaviť prehliadač od používania starého SSL 3.0 protokolu, predpokladám, že v blízkej dobe príde aktualizácia, ktorá úplne vymaže tento protokol z podporovaných protokolov, ale zatiaľ na to treba ísť manuálne. Vypnutie SSL 3.0 alebo CBC metódy šifrovania v SSL 3.0 je dostatočné na zmiernenie tohto problému, avšak môže to predstavovať problém s kompatibilitou serverov používajúcich staré metódy šifrovania. (Zatiaľ som na žiaden nenarazil)

Preto sa odporúča zachovať podporu TLS_FALLBACK_SCSV. Väčšina veľkých prehliadačov bude podporovať TLS_FALLBACK_SCSV aj v nadchádzajúcich mesiacoch. Dovtedy sa môžete chrániť tým, že vyradíte aspoň SSL 3.0 podporu vo vašom prehliadači.

Vo Firefoxe, to môže byť vykonané tým, že pôjdete do about: config a nastavenie security.tls.version.min na 1, prípadne si nainštalujete tento Add-on: https://addons.mozilla.org/sk/firefox/addon/disable-ssl-30/

V Chrome sa v konfigurácii táto možnosť nastaviť nedá, no dá sa však použiť parameter, ktorý nastaví rovnakú vlastnosť aj prehliadaču Chrome. V tom prípade stačí do „Target“ (Slovensky „Cieľ“) programu vložiť parameter  ” –ssl-version-min=tls1” bez úvodzoviek s medzerou a dvomi pomlčkami na začiatku.. Tak ako je to na obrázku nižšie.

Po upravení parametra je dôležité Chrome úplne reštartnúť (CTRL+SHIFT+Q) a spúšťať len cez ikonu, na ktorú ste pridali parameter. Fix pre Chrome je, žiaľ, dosť nepoužiteľný momentálne. Google oznámil, že vydá update, ktorý možnosť vypnutia SSL 3.0 povolí. Zatiaľ však treba používať toto dočasné riešenie.

Pozrieť si status klienta (prehliadača) si môžete na nasledujúcej adrese: https://www.ssllabs.com/ssltest/viewMyClient.html

Rada pre adminov

Týmto by som rád apeloval aj na administrátorov serverov, aby updatovali servery a vypli SSL 3.0 podporu. Test môžu vykonať priamo na adrese: http://poodlebleed.com/.

Dobrý zdroj informácii pre administrátorov je tu: http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566

SSL v neustálych problémoch

SSL má v poslednej dobe  množstvo problémov, na ktoré upozorňuje stránka: http://dayswithoutansslexploit.com/

Odporúčam si ju prečítať. Za tento link patrí vďaka Ondrejovi Jombíkovi, ktorý ma na tento problém upozornil a v ich firme už pracujú na upgrade-och serverov.

Zdroj: http://poodlebleed.com/
Zdroj obrázka: https://blog.rudeotter.com/poodlebleed-explots-ssl-3/


Dobrý článok? Chceš dostávať ďalšie?

Už viac ako 6 200 ITečkárov dostáva správy e-mailom. Nemusíš sa báť, nie každé ráno. Len občasne.



Súhlasím so spracovaním mojich osobných údajov. ( Viac informácií. )

Tvoj email neposkytneme 3tím stranám. Posielame naňho len informácie z robime.it. Kedykoľvek sa môžeš odhlásiť.

Junior / Senior Java Backend Software Engineer

JOB Position: Java Backend Software Engineer Contract type: TPP, Contract Location: Bratislava Salary Junior: 1500 EUR/Brutto Salary Senior: 2200 EUR/Brutto Rate: 3000 -4000 EUR/monthlyPrimary Job...

Senior Sieťový Špecialista

PRÁCA Pozícia: Sieťový špecialista Pracovný pomer:  TPP Miesto práce: Bratislava, on-site Plat: od 1700+ EUR/Brutto/mesačneHlavné zodpovednosti:Navrhuje architektúru, štruktúru a IP adresácie multiplatformových LAN/MAN/WAN sietí ...

Data Mining Expert

PRÁCA Pozícia: Data Mining Expert Pracovný pomer:  TPP Miesto práce: Bratislava, on-site Plat: od 2000+ EUR/Brutto/mesačneAké výzvy ťa čakajú?Vynikajúca pracovná príležitosť pre nadšenca práca...

Artificial Intelligence Consultant

JOB Position: Artificial Intelligence Consultant Contract type: Full-Time Location: Bratislava Salary: 2000 EUR/Brutto/monthsResponsibilities:conceptual processing and development of the new solutions in the area e.g....

Artificial Intelligence Expert

JOB Position: Artificial Intelligence Expert Contract type: Full-Time Location: Bratislava Salary: 2000 EUR/Brutto/monthsSuccessful adaptation of technologies like machine learning, deep learning, artificial inteligence will determine companies...

Senior Front-end / Angular Developer / Tvorba serverovej a aplikačnej logiky

PRÁCA Pozícia: FE/ Angular developer Pracovný pomer:  TPP, živnosť Miesto práce: Bratislava, Prievidza, Žilina Plat: od 1700+ EUR/Brutto/mesačneNáplň práce:Spolupráca na vývoji SW...

Senior .NET/Angular developer

PRÁCA Pozícia: .NET/Angular developer Pracovný pomer:  TPP Miesto práce: Bratislava, on-site Plat: od 1700+ EUR/Brutto/mesačneČo bude Vašou náplňou práce:spolupodieľanie sa na vývoji SW riešenia...

Nexteria – IT Club

Prednášky, diskusie, workshopy priamo od expertov z praxe.    Prepájame študentov a ľudí, ktorí...

Campus cowork

Campus cowork je medzinárodný coworking v Bratislave s dvoma lokáciami. Campus MLYNY...

Čo sme stihli v roku 2019

Každý rok je niečím špeciálny a rok 2019 nie je výnimkou. V...

Čítaj ďalej:

Dobrý článok? Chceš dostávať ďalšie?

Už viac ako 6 200 ITečkárov dostáva správy e-mailom. Nemusíš sa báť, nie každé ráno. Len občasne.

Súhlasím so spracovaním mojich osobných údajov. ( Viac informácií. )

Tvoj email neposkytneme 3tím stranám. Posielame naňho len informácie z robime.it. Kedykoľvek sa môžeš odhlásiť.