Was ist die POODLE-Sicherheitsanfälligkeit und wie können Sie sich schützen?
Es ist schwer, uns mit all diesen Internet-Katastrophen zu beschäftigen, wenn sie auftreten, und gerade als wir dachten, das Internet sei wieder sicher, nachdem Heartbleed und Shellshock drohte, "das Leben zu beenden, wie wir es kennen", kommt POODLE heraus.
Seien Sie nicht zu aufgewühlt, weil es nicht so bedrohlich ist, wie es klingt. Die Wahrheit ist, dass es ein Thema ist, mit dem man sich befassen muss, aber es gibt einfache Schritte, um sich zu schützen.
Was ist Pudel??
Beginnen wir im Erdgeschoss. Was ist POODLE? Zunächst steht es für “Padding Oracle für die herabgestufte ältere Verschlüsselung.Das Sicherheitsproblem ist genau das, was der Name vermuten lässt, ein Protokoll-Downgrade, das Exploits auf eine veraltete Form der Verschlüsselung ermöglicht. Dieses Problem wurde in diesem Monat weltweit bekannt, als Google eine Veröffentlichung mit dem Titel "This POODLE Bites: Exploiting The SSL 3.0 Fallback" veröffentlichte..
Um dies einfacher zu erklären: Wenn ein Angreifer, der einen Man-In-The-Middle-Angriff verwendet, die Kontrolle über einen Router an einem öffentlichen Hotspot übernehmen kann, kann er den Browser dazu zwingen, auf SSL 3.0 (ein älteres Protokoll) herunterzustufen, anstatt den viel moderner TLS (Transport Layer Security) und dann eine Sicherheitslücke in SSL ausnutzen, um Ihre Browsersitzungen zu entführen. Da sich dieses Problem im Protokoll befindet, ist alles betroffen, was SSL verwendet.
Solange sowohl der Server als auch der Client (Webbrowser) SSL 3.0 unterstützen, kann der Angreifer ein Downgrade des Protokolls erzwingen. Wenn Ihr Browser also versucht, TLS zu verwenden, muss er stattdessen SSL verwenden. Die einzige Antwort ist für beide Seiten oder beide Seiten, die Unterstützung für SSL zu entfernen, wodurch die Möglichkeit eines Downgrades ausgeschlossen wird.
Wenn Sie hauptsächlich von zu Hause aus surfen und keine öffentlichen Hotspots verwenden, ist das Risiko für Schäden ziemlich gering, und Sie können einfach die einfachen Schritte ausführen, die später in diesem Artikel beschrieben werden, um sich selbst zu schützen. Wenn Sie häufig einen öffentlichen Hotspot verwenden, sollten Sie über ein VPN nachdenken.
Wie können wir das Problem lösen?
Da es keine Möglichkeit gibt, die Probleme mit SSL zu lösen, besteht die einzige Lösung darin, dass Browserhersteller und Webserver alles aktualisieren, um die Unterstützung für SSL zu entfernen und nur die TLS-Verschlüsselung benötigen.
Google und Firefox haben bereits angekündigt, dass sie den Support in Zukunft entfernen werden, und obwohl wir (noch) nicht das gleiche von Microsoft gehört haben, ist es extrem einfach, als Endbenutzer SSL 3.0 im IE zu deaktivieren. Die meisten großen Web-Unternehmen entfernen die Unterstützung für SSL, nachdem dieses Problem aufgetaucht ist, aber es wird eine Weile dauern, bis alle dies tun.
Als Verbraucher können Sie die SSL-Unterstützung mit einer der unten beschriebenen Methoden von Ihrem Browser entfernen. Wenn Sie Firefox oder Google Chrome verwenden und nicht ständig Hotspots verwenden, können Sie warten, bis der Browser aktualisiert wird. Oder Sie können sicherstellen, dass Sie das Problem selbst behoben haben.
Deaktivieren von SSL 3.0 in Mozilla Firefox
Wenn Sie ein Mozilla Firefox-Benutzer sind, werden Ihre SSL 3.0-Probleme am 25. November 2014 bei Veröffentlichung von Fireox 34 ins Bett gelegt. Das einzige Problem dabei ist, dass es noch nicht November ist und Sie jetzt Maßnahmen ergreifen müssen, um sich zu schützen. Starten Sie, indem Sie Ihren Firefox-Browser öffnen und zur Firefox-Downloadseite für die SSL-Versionskontrolle navigieren.
Nach erfolgreicher Installation können Sie in die Navigationsleiste "about: addons" eingeben und die Erweiterung "SSL Version Control" auswählen. Sie können auf "Optionen" klicken, um die Einstellungen für die Erweiterung anzuzeigen. Stellen Sie sicher, dass die "Automatische Updates" aktiviert sind und dass die "Minimum SSL Version" auf "TLS 1.0" gesetzt ist.
Nach der Veröffentlichung von Firefox 34 können Sie die Erweiterung deaktivieren oder deinstallieren.
Deaktivieren von SSL 3.0 in Google Chrome
Wenn Sie ein Benutzer von Google Chrome sind, können Sie sich darauf verlassen, dass SSL 3.0 in den kommenden Monaten deaktiviert wird, obwohl noch kein Datum festgelegt wurde. Wenn Sie sich jetzt schützen möchten, können Sie dies in wenigen Schritten erledigen. Gehen Sie einfach zu Ihrem Google Chrome-Desktop-Symbol und klicken Sie mit der rechten Maustaste darauf. Wählen Sie dann unten im Popup-Menü die Option "Eigenschaften".
Im Fenster "Eigenschaften" wird ein Texteingabefeld mit der Aufschrift "Ziel" angezeigt. Klicken Sie einfach in dieses Feld und drücken Sie die Taste "Ende" auf Ihrer Tastatur. Drücken Sie dann die Leertaste und kopieren Sie diesen Text am Ende.
--ssl-version-min = tls1
Klicken Sie auf "Übernehmen" und anschließend auf "Weiter" im Popup-Fenster. Klicken Sie anschließend auf "OK".
Jetzt lehnt Ihr Browser SSL 3.0-Zertifikate automatisch ab und akzeptiert nur TLS 1.0 und höher. Wenn Sie Chrome über eine andere Verknüpfung auf Ihrem Computer starten, wird dieses Flag nicht verwendet.
Deaktivieren von SSL 3.0 in Internet Explorer
Microsoft hat noch nicht bekannt gegeben, wann das Problem mit SSL 3.0 behoben werden soll. Sie sollten es daher am besten selbst deaktivieren, indem Sie das Startmenü öffnen und "Internetoptionen" eingeben.
Wechseln Sie zur Registerkarte „Erweitert“ und scrollen Sie zum Abschnitt „Sicherheit“, bis Sie die SSL- und TLS-Optionen sehen. Deaktivieren Sie dann die Option für SSL 3.0 verwenden und aktivieren Sie stattdessen TLS.
Auf diese Weise können Sie sicher sein, dass Ihre Internetbrowser alle vor POODLE-Angriffen geschützt sind.
Bildnachweis: Karen bei Flickr