POODLE Güvenlik Açığı nedir ve Kendinizi Nasıl Koruyabilirsiniz?
Aklımızı tüm bu İnternet felaketlerinin etrafına sarıldığı gibi sarmak zor ve tıpkı Heartbleed ve Shellshock’un “bildiğimiz hayatı sona erdirme” tehdidinden sonra, İnternet’in tekrar güvende olduğunu düşündüğümüz gibi ortaya çıktı..
Fazla yorulma çünkü göründüğü kadar tehdit edici değil. Gerçek şu ki, bununla ilgilenilmesi gereken bir mesele, ancak kendinizi korumak için atabileceğiniz basit adımlar var..
POODLE Nedir??
Zemin katta başlayalım. POODLE Nedir? İlk olarak, “Azaltılmış Eski Şifrelemede Oracle Padding.“Güvenlik sorunu, tam olarak adından da anlaşılacağı gibi, eski bir şifreleme yönteminde istismarlara izin veren bir protokol düşürme yöntemidir. Bu ay Google’ın “Bu POODLE Bites: The SSL 3.0 Geri Dönüşünü Sömürmek” adlı bir makale yayınlamasıyla bu ay dünyanın dikkatini çekti.
Bunu daha basit bir şekilde açıklamak gerekirse, Ortada Bir Adam saldırısı kullanan bir saldırgan, ortak bir etkin noktadaki bir yönlendiricinin kontrolünü ele geçirebilirse, tarayıcınızı kullanmak yerine SSL 3.0'a (eski bir protokol) geçmeye zorlayabilir. çok daha modern TLS (Taşıma Katmanı Güvenliği) ve ardından tarayıcı oturumlarınızı ele geçirmek için SSL'de bir güvenlik açığından yararlanın. Bu sorun protokolde olduğundan, SSL kullanan her şey etkilenir.
Hem sunucu hem de istemci (web tarayıcısı) SSL 3.0'ı desteklediği sürece, saldırgan protokolde düşüşe zorlayabilir, böylece tarayıcınız TLS kullanmaya çalışsa bile, bunun yerine SSL kullanmaya zorlanır. Tek cevap, ya tarafların ya da her iki tarafın da SSL desteğini kaldırması ve düşürülme olasılığını ortadan kaldırmasıdır..
Öncelikle evden göz atarsanız ve halka açık noktaları kullanmazsanız, hasar potansiyeli oldukça düşüktür ve kendinizi korumak için makalenin ilerisinde belirtilen kolay adımları atabilirsiniz. Genel bir ortak erişim noktası kullanıyorsanız, VPN kullanmayı düşünmenin zamanı olabilir..
Problemi nasıl çözebiliriz?
SSL ile ilgili sorunları çözmenin bir yolu olmadığından, tek çözüm tarayıcı üreticilerinin ve web sunucularının SSL desteğini kaldıracak her şeyi yükseltmesi ve yalnızca TLS şifrelemesi gerektirmesidir..
Google ve Firefox, gelecekte desteği kaldıracaklarını çoktan duyurdular ve Microsoft’tan aynı şeyi duymadıkça, IE’de SSL 3.0’ı devre dışı bırakmak son kullanıcı olarak oldukça kolay. Büyük web şirketlerinin çoğu, bu sorun ortaya çıktıktan sonra SSL desteğini kaldırıyor, ancak herkesin yapması biraz zaman alacak.
Tüketici olarak, aşağıda belirtilen yöntemlerden birini kullanarak tarayıcınızdan SSL desteğini kaldırabilirsiniz - ya da Firefox veya Google Chrome kullanıyorsanız ve her zaman etkin noktalar kullanmıyorsanız, tarayıcıyı güncellemelerini bekleyebilirsiniz. Veya sorunu kendiniz düzelttiğinizden emin olabilirsiniz..
Mozilla Firefox’ta SSL 3.0’ı Devre Dışı Bırakma
Eğer bir Mozilla Firefox kullanıcısıysanız, SSL 3.0 endişeleriniz Fireox 34 piyasaya sürüldüğünde 25 Kasım 2014'te yatacak. Bununla ilgili tek sorun, henüz Kasım değil ve şimdi kendinizi korumak için harekete geçmeniz gerekiyor. Firefox tarayıcınızı açarak ve Firefox'ta SSL Sürüm Kontrolü indirme sayfasına giderek başlayın.
Başarıyla yüklendiğinde, gezinti çubuğuna “about: addons” yazıp “SSL Version Control” uzantısını seçebilirsiniz. Uzantı ayarlarını görmek için “Seçenekler” e tıklayabilirsiniz. “Otomatik Güncelleştirmeler” in açık olduğundan ve “Minimum SSL Sürümü” nün “TLS 1.0” olarak ayarlandığından emin olun
Firefox 34 piyasaya sürüldükten sonra, uzantıyı devre dışı bırakmak veya kaldırmaktan çekinmeyin.
Google Chrome'da SSL 3.0’ı Devre Dışı Bırakma
Bir Google Chrome kullanıcısıysanız, henüz tarih belirlememiş olsalar bile, SSL 3.0'ın önümüzdeki aylarda devre dışı bırakılacağından emin olabilirsiniz. Şimdi kendinizi korumak istiyorsanız, birkaç basit adımda yapılabilir. Basitçe Google Chrome masaüstü simgenize gidin ve sağ tıklayın, ardından açılır menünün altındaki “Özellikler” i seçin.
“Özellikler” penceresinde “Hedef” yazan bir metin giriş kutusu göreceksiniz. Bu kutuya tıklayın ve klavyenizdeki “Son” düğmesine basın. Sonra, “Boşluk Çubuğu” na basın ve bu metni kopyalayıp sonuna yapıştırın.
--SSL sürümü-min = TLS1
“Uygula” ya basın, ardından açılır pencerede “Devam” a ve ardından “Tamam” a basın.
Artık tarayıcınız SSL 3.0 sertifikalarını otomatik olarak reddedecek ve yalnızca TLS 1.0 ve daha yenilerini kabul edecektir. Chrome'u bilgisayarınızdaki başka bir kısayoldan başlatırsanız, bu bayrağı kullanmayacağını belirtmekte fayda var..
Internet Explorer’da SSL 3.0’ı Devre Dışı Bırakma
Microsoft, SSL 3.0 sorununu çözmeyi planladıklarını henüz açıklamadı, bu nedenle "Başlat" menüsünü açıp "Internet Seçenekleri" yazarak kendiniz devre dışı bırakmanız en iyisidir.
“Gelişmiş” sekmesine gidin ve SSL ve TLS seçeneklerini görene kadar “Güvenlik” bölümüne gidin ve ardından SSL 3.0 Kullan seçeneğinin işaretini kaldırın ve bunun yerine TLS'yi etkinleştirin..
Bu şekilde, İnternet tarayıcılarınızın tüm olası POODLE saldırılarına karşı güvende olduğundan emin olabilirsiniz..
Resim kredisi: Karen Flickr'da