A szeptemberi hónap végén a Google biztonsági csapata felfedezett egy komoly sérülékenységet az SSLv3-ban. A sérülékenység kihasználásával a támadók könnyedén hozzáférhetnek a privátnak szánt adatokhoz, legyen az jelszó, vagy bankszámla adatok. A sebezhetőségnek a poodle nevet adták a felfedezői.

A megfelelő technikák használatával könnyedén kikényszeríthető, hogy a böngészők a sebezhető SSL 3 titkosítást használják, így a támadok man-in-the-middle támadás segítségével megszerezhetik a privát adatokat. Ehhez mindössze egy nem biztonságos callback hívás szükséges, és máris veszélyeztetettek vagyunk.

A támadás ellen könnyedén védekezhetünk, mindössze tiltani kell az SSL 3 használatát. Ha a kommunikációban résztvevő egyik fél már tiltja ezt akkor nem lehetséges, kényszeríteni ennek a protokollnak a használatát és így adataink biztonságban vannak. Emiatt rendkívül fontos, hogy a kiszolgálói oldalon a szerverek is tiltsák ennek a használatát, míg a teljes nyugalomhoz a felhasználóknak is érdemes a saját böngészőikben letiltani az SSL 3 használatának a lehetőségét.

A böngésző gyártók már ígérték a frissítéseket, amelyekkel ez a protokoll tiltva lesz, de addig is cikkünkben bemutatjuk, hogyan kapcsolhatják ki manuálisan ennek a támogatását.

Otthoni felhasználók

Az otthoni felhasználók körében a három leggyakoribb web böngésző mindegyike lehetőséget ad arra, hogy az SSL 3 helyett a modernebb és megbízhatóbb TLS titkosítást használjuk.

Internet Explorer esetében az internetbeállítások menüben a Speciális fület választva lehetséges kikapcsolni az SSL titkosítások használatát.

Mozilla Firefox esetében habár a 34-es verzió már alapból tiltani fogja ennek a használatát, de addig is mi magunk is kikapcsolhatjuk manuálisan. Ehhez az about:config weboldalt kell megnyitni és itt a security.tls.version.min értéket kell 1 –re állítani.

A Google Chrome böngésző esetében magát a böngészőt kell a –ssl-version-min=tls1 paraméterrel indítani, hogy a sebezhetőség kihasználásának a lehetőségét tiltsuk.

A megfelelő beállítások után tesztelhetjük is, hogy böngészőnk sebezhető-e, ehhez a https://www.poodletest.com/ weboldalt kell meglátogatni, ahol ha egy Springfield terrier képe fogad akkor biztonságban vagyunk, ha pedig egy pudlival találkozunk akkor a sebezhetőség kihasználható a web böngészőnkben. Mindenképpen javasolt a felhasználóknak is védekezniük a támadással szemben, hiszen sok olyan weboldal található a neten, ahol körülményes, időigényes az SSL 3 tiltása.

Szerverek esetén

Fontos, hogy a webszerek esetén is tiltva legyen az SSL 3 protokoll használata, így azok a felhasználók is biztonságban vannak, akiknél még használható a sérülékeny titkosítás.

NGINX szerverek esetén az nginx.conf fájlt kell szerkeszteni azon belül az ssl_protocols direktívát kell a következőként beállítani:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
az nginx újraindítása után az SSL 3 sikeresen tiltva lesz.

Apache webszerverek esetén az ssl.conf fájlt kell módosítani. A következő sort kell hozzáadni a konfigurációhoz:
SSLProtocol all -SSLv3 -SSLv2
a szolgáltatás újraindítása után kész is vagyunk.

OpenVPN szerverek esetében az aktuális verzió már nem támogatja az SSL 3-at, így ott nem szükséges ezt tiltani. Emiatt javasolt ezeknek a szervereknek a frissítése.

Postfix szerverek esetén a main.cf fájlt kell módosítani, azon belül is az  smtpd_tls_mandatory_protocols értékét a következők szerint:
smtpd_tls_mandatory_protocols=!SSLv2, !SSLv3
szolgáltatás újraindítása szintén szükséges.

Egyéb védekezési lehetőségek

Mindenki számára javasolt a megfelelő határvédelmi eszközök használata. Az IPS gyártók mindegyikének már megtalálható a szignatúra bázisában a pudli ellenei védekezési technikák. Így akinek megfelelő NGFW vagy UTM megoldása van az már a megfelelő sintéreket állította a pudli harapás elleni védekezéshez.

Amennyiben nem rendelkezik ilyen megoldással vagy bármilyen kérdése van a védekezéssel, sebezhetőséggel kapcsolatban, keresse fel minket nyugodtan.

kl