פרסומת

מתי אנשים לא אוהבים גור? כשהם יודעים שזה לא גור, אלא ניצול דפדפן שמטרתו לגנוב את המידע החיוני שלהם. ה- POODLE (עמוסיף Oרצים On דמדורגת בעצמה לנאמנות הncryption) שאנחנו מדברים עליה הוא מתקפת ביטחון חמורה.

כניצול אבטחה זה יכול להשפיע על כל דפדפני האינטרנט, ולכן על כל אחד מאיתנו. בואו נגלה מה זה POODLE, מה הוא עושה ומה תוכלו לעשות כדי למנוע ממנו לנשוך אתכם.

מידע רקע

כדי להבין את POODLE, עליכם לדעת מעט על SSL ו- TLS מה זה HTTPS ואיך אפשר חיבורים מאובטחים לפי ברירת מחדלחששות ביטחוניים מתפשטים לרחבה והגיעו לחזית בראשם של כולם. מונחים כמו אנטי-וירוס או חומת אש הם כבר לא אוצר מילים מוזר והם לא רק מובנים, אלא משמשים גם את ... קרא עוד . אלה שני פרוטוקולים קריפטוגרפיים שפותחו כדי לסייע בהגנה על תקשורת האינטרנט החשובה שלך. כשאתה ניגש לאתר שאתה רואה HTTPS: // לפני כתובת האינטרנט אתה משתמש ב- SSL / TLS. SSL (סecure סאוקיי לayer) ו- TLS (טransport סטוהר לayer) הם שני פרוטוקולים שונים מאוד, אך רוב האנשים פשוט מגבילים אותם יחד ומכנים אותם SSL. SSL הוחלף למעשה על ידי פרוטוקול TLS לפני כעשר שנים דה פאקטו סטנדרטית לקריפטוגרפיה, ובכל זאת SSL עדיין בשימוש נרחב. זה מה שהופך את POODLE למסוכן.

instagram viewer

כשאתה מבקר באתר אינטרנט, המחשב שמשרת לך את הדף (שרת אינטרנט) הוא מסוגל למספר רמות של קריפטוגרפיה אבטחה, מכל מקום מ- TLSv1.2, הפרוטוקול האחרון והמאובטח, ועד SSLv3, הפרוטוקול הישן והפחות מאובטח. זה מאפשר לדפדפן שלך ולשרת האינטרנט להיות מסוגלים להתחבר לאותו פרוטוקול כדי שיוכלו לדבר בצורה מאובטחת. זוהי הדרך הבסיסית שדפדפני האינטרנט והשרתים מנסים למנוע התקפות של איש באמצע מהי התקפה של אדם באמצע? הוסבר שפה הביטחוןאם שמעתם על התקפות "איש-באמצע" אך אינך בטוח לגמרי מה זה אומר, זה המאמר בשבילך. קרא עוד , כמו POODLE.

מה עושה POODLE?

POODLE מנסה לאלץ את החיבור בין דפדפן האינטרנט שלך לשרת לשדרג לאחור ל- SSLv3. אם זה עושה את זה, התוקף יכול לקבל את פרטי הטקסט הפשוט מהתקשורת. המשמעות היא שהם יכולים לגשת לעוגיות המשמשות לעתים קרובות לאחסון מידע, שחלקם יכולים להיות אישיים ורגישים באופיים מה זה עוגיה ומה זה קשור לפרטיות שלי? [MakeUseOf מסביר]רוב האנשים יודעים שיש עוגיות הפזורות ברחבי האינטרנט, מוכנות ומוכנות להיאכל על ידי מי שיכול למצוא אותן קודם. רגע מה? זה לא יכול להיות נכון. כן, יש עוגיות ... קרא עוד . מה שהתוקף עושה עם המידע הזה הוא הניחוש של מישהו, אבל הוא אף פעם לא משהו טוב.

מצד שני, התקפת POODLE אינה הדרך הקלה ביותר עבור תוקף להשיג את המידע שלך. זה עלול לקחת מאות ואפילו אלפי ניסיונות לגרום למתקפת ה- POODLE לעבוד על מישהו. אז זה משהו שצריך לדאוג אליו, עם זאת הוא לא בהכרח גרוע כמו זה גיליון Heartbleed האחרון פעורי לב - מה אתה יכול לעשות כדי להישאר בטוח? קרא עוד .

כיצד אוכל להגן על עצמי מפני POODLE?

למרבה המזל, זה דבר קל למדי לעשות. ראשית, ראשית, בדוק אם אתה פגיע ב- POODLE. פשוט היכנס לאתר POODLETest.com. אם אתה רואה פודל, צריך לעשות קצת ניקיון. אם אתה רואה את ספרינגפילד טרייר, הדפדפן שלך טוב ללכת אליו. למי שמומחה יותר בטכנולוגיה, בדוק מבחן לקוח SSL של Qualys SSL מעבדות. זה מספק פרטים מעמיקים יותר.

פודל לא פודל

העיקרון הבסיסי הוא השבתת תמיכה ב- SSLv3 בדפדפן האינטרנט שלך. אם הוא מושבת, POODLE לא יכול להוריד את הדפדפן שלך למטה. בואו נראה כיצד לעשות זאת ב- Chrome, Internet Explorer ו- Firefox.

שימו לב, אתרי אינטרנט רבים עדיין רוצים להשתמש ב- SSLv3. אם תשבית את זה, יתכן שהאתרים האלה לא יעבדו בשבילך כמו פעם. לא יזיק לשלוח לחברה הזו דואר אלקטרוני נחמד עם קישור למאמר זה כך שהם מודעים לנושא. יש לקוות שהם ישדרגו ל- TLS וכולם יהיו שוב טובים.

כרום

מצא את קיצור הדרך בו אתה משתמש להפעלת Chrome. לחץ באמצעות לחצן העכבר הימני על זה ואז לחץ על נכסים.

שלב כרום-פודל-1

כאשר נכסים החלון נפתח, מצא את השדה בשם יעד. צריך להיות מסלול ארוך למקום בו נמצא קובץ Chrome. זה צריך להיראות כמו: "C: \ קבצי תוכנית (x86) \ Google \ Chrome \ Application \ chrome.exe" או "C: \ קבצי תוכנית \ Google \ Chrome \ Application \ chrome.exe".

כרום-פודל-שלב 2

לחץ ממש אחרי הסימן האחרון והקש על סרגל החלל שלך כדי ליצור רווח. כעת הקלד את הדברים הבאים:

 ––Ssl-version-min = tls1

אתה יכול גם להעתיק ולהדביק את זה מכאן. מה שמורה ל- Chrome לעשות הוא להשתמש ב- TLSv1 כגרסת האבטחה הנמוכה ביותר עבור דפדפן ה- Chrome. הקלק על ה להגיש מועמדות כפתור בחלקו התחתון של החלון, ובפעם הבאה שתפתחו את Chrome, הוא יהיה מוגן בפני POODLE.

אינטרנט אקספלורר

פתח את הדפדפן שלך ב- Internet Explorer ולחץ על הגדרות סמל. זה זה שנראה כמו ציוד. כעת לחץ על אפשרויות אינטרנט. ייפתח חלון חדש.

Internet-Explorer-ie-poodle-step-1

בצד הימני הקיצוני תראה כרטיסייה שכותרתה מתקדם - לחץ על זה. בתוך ה הגדרות באזור, גלול מטה עד שתראה את האפשרויות השתמש ב- SSL 2.0 והשתמש ב- SSL 3.0.

Internet-Explorer-ie-poodle-step-2

אם יש סימן ביקורת בשתי התיבות הללו, בטל את סימוןן על ידי לחיצה עליהן. וודא כי התיבות מסומנות השתמש ב- TLS 1.o, השתמש ב- TLS 1.1 והשתמש ב- TLS 1.2 נבדקים. (אם אין לך את כל שלוש תיבות ה- TLS האלה, עליך לעשות זאת עדכן את Internet Explorer שלך.) ואז לחץ על להגיש מועמדות כפתור, וה- בסדר כפתור. Internet Explorer שלך מוגן כעת על ידי POODLE.

פיירפוקס

אם אתה חובב פיירפוקס, הנה איך לעזור לשועל להערים על ה- POODLE. פשוט עבור אל Firefox בקרת גרסת SSL 0.2 הוסף את דף ההרחבה, ואז הורד והתקן את התוסף SSL Version Control 0.2. זה כזה קל.

firefox-poodle-ssl-version-control-add-on

Firefox הודיעה גם כי הגרסא הבאה שלה, Firefox 34, תשבית את התמיכה ב- SSLv3. עם זאת, גרסה זו לא תשוחרר לפני מתישהו בנובמבר, על פי האתר שלהם.

POODLE יוכנס

ברגע שרוב האנשים שמוגנים על ידי POODLE את הדפדפנים שלהם ורוב שרתי האינטרנט מפסיקים להשתמש ב- SSLv3, POODLE כבר לא יהווה בעיה. יש גם כלי שנקרא TLS_FALLBACK_SCSV שפותח שרתי אינטרנט ומתכנתים לדפדפנים יכולים ליישם כדי לעזור. למרבה הצער, כלי זה מחייב את שרת האינטרנט וגם את הדפדפן. זה ייקח זמן מה לכולם ליישם. רק אז SSLv3 יעבור בצד הדרך, כפי שהיה צריך להיות לפני עשור. הפיצו את המילה והפכו את האינטרנט למקום בטוח יותר להיות בו.

זיכויים לתמונה: פודל כועס, תמונת וקטור HTTPS דרך Shutterstock.

עם ניסיון של למעלה מ 20 שנה בתחומי ה- IT, ההדרכה והטכניקות, זהו הרצון שלי לחלוק את מה שלמדתי עם מישהו אחר שמוכן ללמוד. אני שואף לעשות את העבודה הכי טובה שאפשר בצורה הכי טובה שאפשר, ועם קצת הומור.