Qual è la vulnerabilità di POODLE e come puoi proteggerti?
È difficile avvolgere le nostre menti attorno a tutte queste catastrofi Internet mentre si verificano, e proprio mentre pensavamo che Internet fosse di nuovo protetto dopo che Heartbleed e Shellshock avevano minacciato di "porre fine alla vita così come la conosciamo", viene fuori POODLE.
Non agitarti troppo perché non è così minaccioso come sembra. La verità è che si tratta di un problema, ma ci sono dei semplici passaggi da seguire per salvaguardare te stesso.
Cos'è il POODLE?
Iniziamo al piano terra. Cos'è il POODLE? Prima di tutto, sta per "Riempimento Oracle On Crittografia legacy declassata."Il problema di sicurezza è esattamente quello che suggerisce il nome, un downgrade del protocollo che consente exploit su una forma obsoleta di crittografia. Il problema è arrivato all'attenzione del mondo questo mese quando Google ha rilasciato un documento intitolato "Questo morso di POODLE: sfruttare il fallback di SSL 3.0".
Per spiegare questo in termini più semplici, se un utente malintenzionato che utilizza un attacco Man-In-The-Middle può assumere il controllo di un router in un hotspot pubblico, può forzare il browser a eseguire il downgrade a SSL 3.0 (un protocollo precedente) anziché utilizzare il molto più moderno TLS (Transport Layer Security), e quindi sfruttare un buco di sicurezza in SSL per dirottare le sessioni del browser. Poiché questo problema è nel protocollo, tutto ciò che utilizza SSL è interessato.
Finché sia il server che il client (browser Web) supportano SSL 3.0, l'utente malintenzionato può forzare un downgrade nel protocollo, quindi, anche se il browser tenta di utilizzare TLS, finisce per essere costretto a utilizzare SSL. L'unica risposta è per entrambi i lati o entrambi i lati per rimuovere il supporto per SSL, eliminando la possibilità di essere declassati.
Se navighi principalmente da casa e non usi hotspot pubblici, il potenziale di danno è piuttosto basso e puoi semplicemente prendere le semplici misure descritte più avanti nell'articolo per proteggerti. Se usi spesso un hotspot pubblico, potrebbe essere il momento di pensare all'utilizzo di una VPN.
Come possiamo risolvere il problema?
Poiché non c'è modo di risolvere i problemi con SSL, l'unica soluzione è che i produttori di browser e i server Web aggiornino tutto per rimuovere il supporto per SSL e richiedano solo la crittografia TLS.
Google e Firefox hanno già annunciato che rimuoveranno il supporto in futuro e, sebbene non abbiamo (ancora) sentito lo stesso da Microsoft, è estremamente facile come utente finale disabilitare SSL 3.0 in IE. La maggior parte delle grandi aziende web stanno rimuovendo il supporto per SSL dopo che questo problema è venuto alla luce, ma ci vorrà un po 'di tempo prima che tutti lo facciano.
In qualità di consumatore, puoi rimuovere il supporto per SSL dal tuo browser utilizzando uno dei metodi descritti di seguito - o se utilizzi Firefox o Google Chrome e non utilizzi sempre hotspot, puoi attendere che aggiornino il browser. O puoi assicurarti di aver risolto il problema da solo.
Disabilitazione di SSL 3.0 in Mozilla Firefox
Se sei un utente di Mozilla Firefox, i tuoi problemi relativi a SSL 3.0 verranno messi a letto il 25 novembre 2014 quando verrà rilasciato Fireox 34. L'unico problema con questo è che non è ancora novembre e devi agire per proteggerti ora. Inizia aprendo il browser Firefox e navigando verso la pagina di download di Controllo versione SSL in Firefox.
Una volta installato con successo, puoi inserire "about: addons" nella barra di navigazione e selezionare l'estensione "Controllo versione SSL". È possibile fare clic su "Opzioni" per vedere le impostazioni per l'estensione. Assicurarsi che gli "Aggiornamenti automatici" siano attivi e che la "Versione minima SSL" sia impostata su "TLS 1.0"
Dopo che Firefox 34 è stato rilasciato, puoi sentirti libero di disabilitare l'estensione o disinstallarla.
Disabilitazione di SSL 3.0 in Google Chrome
Se sei un utente Google Chrome, puoi essere certo che lo SSL 3.0 sarà disabilitato nei prossimi mesi, anche se non hanno ancora fissato una data. Se vuoi proteggere te stesso ora, può essere fatto in pochi semplici passaggi. Vai semplicemente sull'icona del tuo desktop Google Chrome e fai clic con il pulsante destro del mouse su di esso, quindi seleziona "Proprietà" nella parte inferiore del menu popup.
Nella finestra "Proprietà" vedrai una casella di testo che dice "Target". Fai semplicemente clic in questa finestra e premi il pulsante "Fine" sulla tastiera. Quindi, premi la "barra spaziatrice" e copia e incolla questo testo alla fine.
--ssl-versione-min = TLS1
Premi "Applica" e poi fai clic su "Continua" nella finestra popup, quindi premi "OK".
Ora il tuo browser rifiuterà automaticamente i certificati SSL 3.0 e accetterà solo TLS 1.0 e versioni successive. Vale la pena notare che se si avvia Chrome tramite qualsiasi altro collegamento sul computer, non verrà utilizzato questo flag.
Disabilitazione di SSL 3.0 in Internet Explorer
Microsoft non ha ancora annunciato quando sta pianificando di risolvere il problema di SSL 3.0, quindi è meglio disabilitarlo aprendo il menu "Start" e digitando "Opzioni Internet".
Vai alla scheda "Avanzate" e scorri verso il basso fino alla sezione "Sicurezza" finché non visualizzi le opzioni SSL e TLS, quindi deseleziona l'opzione per Usa SSL 3.0 e abilita invece TLS.
In questo modo puoi essere certo che i tuoi browser Internet sono al sicuro da qualsiasi potenziale attacco di POODLE.
Immagine di credito: Karen su Flickr