Nowa dziura w bezpieczeństwie wydaje zaszyfrowane dane na pastwę hakerów
Okazuje się, że protokół Secure Socket Layer (SSL), którym posługujemy się na co dzień w sieci, ufając, że odpowiednio zabezpieczy naszą komunikację, posiada niebezpieczną lukę. Wszystkie dane, które uważaliśmy za zaszyfrowane mogą trafić w ręce hakerów.
Odkryli to eksperci z Google. Zgodnie z przeprowadzoną przez nich analizą, w protokole SSL 3.0 istnieje luka, która może posłużyć do przechwytywania danych pomiędzy klientem i serwerem. Zaczyna się od tego, że atakujący każe myśleć klientowi, że serwer nie wspiera bezpieczniejszego protokołu TLS (Transport Layer Security) i wymusza połączenie przez SSL 3.0. Stamtąd odbywa się tzw. atak man-in-the-middle, polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy, za sprawą którego haker jest w stanie odcyfrować zabezpieczone ciasteczka HTTP. Google nazwało ten specyficzny typ ataku POODLE (Padding Oracle On Downgraded legacy Encryption), czyli pudel.
Krótko mówiąc, nasze zaszyfrowane dane nie są tak naprawdę zaszyfrowane. Trzech speców od spraw zabezpieczeń z Google zasugerowało wszystkim użytkownikom sieci wyłączenie SSL 3.0 na serwerach oraz klientach. Dzięki temu jedne i drugie przestawią się domyślnie na bezpieczniejszy TSL i wykorzystanie dziury w zabezpieczeniach stanie się niemożliwe.
Jeśli chodzi o zwykłych użytkowników, zalecane jest wyłączenie SSL 3.0. jeśli przeglądarka na to pozwala lub zastosowanie narzędzi wspierających TLSFALLBACKSCSV (Transport Layer Security Signalling Cipher Suite Value), które zapobiegają wspomnianym wcześniej atakom. Google zapowiedziało już, że feralny protokół zostanie usunięty ze wszystkich produktów Google podczas najbliższych miesięcy. Póki co w sieci pojawiła się łatka do Chrome, która załatwia całą sprawę.
W odpowiedzi na te niepokojące rewelacje, Mozilla zapowiedziała już wyłączenie SSL 3.0 w Firfoksie. „SSLv3 zostanie domyślnie wyłączony w Firefoksie 34. który zostanie wypuszczony 24 listopada” - powiadamia Mozilla w oficjalnej informacji. Natomiast kod do pozbycia się protokołu zostanie udostępniony jeszcze dziś. Na razie wszyscy użytkownicy Ognistego Lisa, zainteresowani wyłączeniem SSL 3.0 mogą to zrobić dzięki dodatkowi SSL Version Control.
