Propaganda

Quando as pessoas não gostam de um filhote? Quando eles sabem que não é um filhote, mas uma exploração do navegador que visa roubar suas informações vitais. O POODLE (Padicionando Odisparar On Dpróprio euegacy Efalamos sobre um grave ataque de segurança.

Como uma exploração de segurança, pode afetar todos os navegadores da Web e, portanto, qualquer um de nós. Vamos descobrir o que é POODLE, o que faz e o que você pode fazer para impedir que ele o morda.

Informações de fundo

Para entender POODLE, você precisa saber um pouco sobre SSL e TLS O que é HTTPS e como ativar conexões seguras por padrãoAs preocupações de segurança estão se espalhando por todo o mundo e alcançaram a vanguarda da mente de quase todos. Termos como antivírus ou firewall não são mais um vocabulário estranho e não são apenas entendidos, mas também usados ​​por ... consulte Mais informação . São dois protocolos criptográficos que foram desenvolvidos para ajudar a proteger suas comunicações importantes na Web. Quando você acessa um site e vê

instagram viewer
HTTPS: // antes do endereço da web, você está usando SSL / TLS. SSL (Secure Ssoquete euayer) e TLS (Transport Security euayer) são dois protocolos muito diferentes, mas a maioria das pessoas os agrupa e os chama de SSL. O SSL foi realmente substituído pelo protocolo TLS há cerca de dez anos, como o de fato padrão para criptografia, o SSL ainda é amplamente utilizado. É isso que torna POODLE perigoso.

Quando você visita um site, o computador que serve a página (servidor web) é capaz de vários níveis de criptografia segurança, em qualquer lugar, desde TLSv1.2, o protocolo mais recente e seguro, até SSLv3, o protocolo mais antigo e menos seguro. Isso permite que seu navegador e o servidor da Web possam se conectar com o mesmo protocolo para que eles possam conversar com segurança. Esta é a maneira fundamental que os navegadores e servidores da Web tentam impedir ataques man-in-the-middle O que é um ataque do tipo intermediário? Jargão de segurança explicadoSe você já ouviu falar de ataques "intermediários", mas não sabe ao certo o que isso significa, este é o artigo para você. consulte Mais informação , como POODLE.

O que POODLE faz?

POODLE tenta forçar a conexão entre o navegador da web e o servidor para fazer o downgrade para SSLv3. Se isso acontecer, o invasor poderá obter as informações em texto sem formatação da comunicação. Isso significa que eles podem acessar cookies frequentemente usados ​​para armazenar informações, alguns dos quais podem ser pessoais e sensíveis por natureza O que é um cookie e o que isso tem a ver com minha privacidade? [MakeUseOf explica]A maioria das pessoas sabe que existem cookies espalhados por toda a Internet, prontos e dispostos a serem comidos por quem puder encontrá-los primeiro. Espere o que? Isso não pode estar certo. Sim, existem cookies ... consulte Mais informação . O que o invasor faz com essas informações é uma incógnita, mas nunca é nada bom.

No lado positivo, o ataque POODLE não é a maneira mais fácil de um invasor obter suas informações. Pode levar centenas, até milhares, de tentativas para que o ataque do POODLE funcione em alguém. Portanto, é algo para se preocupar, no entanto, não é necessariamente tão ruim quanto o recente edição do Heartbleed Heartbleed - O que você pode fazer para se manter seguro? consulte Mais informação .

Como posso me proteger do POODLE?

Felizmente, é uma coisa bastante fácil de fazer. Primeiramente, vamos ver se você é vulnerável ao POODLE. Basta ir ao site POODLETest.com. Se você vê um poodle, você tem que limpar. Se você vir o Springfield Terrier, seu navegador está pronto. Para quem é mais experiente em tecnologia, confira Teste de cliente SSL do Qualys SSL Labs. Ele fornece detalhes mais detalhados.

poodle-não-poodle

O princípio subjacente é desativar o suporte ao SSLv3 no seu navegador da web. Se estiver desativado, o POODLE NÃO pode fazer o downgrade do seu navegador para ele. Vamos ver como fazer isso no Chrome, Internet Explorer e Firefox.

Esteja ciente de que muitos sites ainda desejam usar o SSLv3. Se você desativá-lo, esses sites podem não funcionar tão bem quanto antes. Não faria mal enviar para a empresa um bom email com um link para este artigo para que eles estejam cientes do problema. Felizmente, eles atualizarão para TLS e tudo ficará bom novamente.

cromada

Encontre o atalho que você usa para iniciar o Chrome. Clique com o botão direito do mouse e clique em Propriedades.

chrome-poodle-passo-1

Quando o Propriedades janela abrir, encontre o campo chamado Alvo. Deve haver um longo caminho para o local do arquivo do Chrome. Deve parecer com: “C: \ Arquivos de Programas (x86) \ Google \ Chrome \ Application \ chrome.exe” ou "C: \ Arquivos de programas \ Google \ Chrome \ Application \ chrome.exe".

chrome-poodle-passo-2

Clique logo após a última aspas e pressione a barra de espaço para criar um espaço. Agora digite o seguinte:

 ––Ssl-version-min = tls1

Você também pode copiar e colar isso daqui. O que isso instrui o Chrome a fazer é usar o TLSv1 como a versão mais baixa de segurança do seu navegador Chrome. Clique no Aplique na parte inferior da janela e, na próxima vez em que você abrir o Chrome, ele será protegido por POODLE.

Internet Explorer

Abra o navegador Internet Explorer e clique no ícone Configurações ícone. É o que parece uma engrenagem. Agora clique em Opções de Internet. Uma nova janela se abrirá.

internet-explorer-ie-poodle-passo-1

No lado direito, você verá uma guia rotulada Avançado - Clique nisso. No Configurações área, role para baixo até ver as opções Use SSL 2.0 e Use SSL 3.0.

internet-explorer-ie-poodle-passo-2

Se houver uma marca de seleção nessas duas caixas, desmarque-as clicando nelas. Verifique se as caixas rotuladas Use o TLS 1.o, use o TLS 1.1 e use o TLS 1.2 estão marcados. (Se você não tiver todas as três caixas TLS, deverá atualize seu Internet Explorer.) Em seguida, clique no Aplique botão e o Está bem botão. Seu Internet Explorer agora está à prova de POODLE.

Raposa de fogo

Se você é um fã do Firefox, veja como ajudar a raposa a ser mais esperta do que o POODLE. Basta ir ao Firefox Controle de versão SSL 0.2 Add-On, faça o download e instale o complemento SSL Version Control 0.2. É tão fácil.

firefox-poodle-ssl-versão-controle-add-on

O Firefox também anunciou que sua próxima versão, o Firefox 34, desativará o suporte ao SSLv3. No entanto, essa versão não será lançada até novembro, de acordo com o site.

POODLE será envenenado

Uma vez que a maioria das pessoas prova o POODLE de seus navegadores e a maioria dos servidores da Web para de usar o SSLv3, o POODLE não será mais um problema. Há também uma ferramenta conhecida como TLS_FALLBACK_SCSV desenvolvido para que os servidores da Web e programadores de navegador possam implementar para ajudar. Infelizmente, essa ferramenta exige que o servidor da web e o navegador o possuam. Isso levará algum tempo para que todos possam implementar. Somente então o SSLv3 será esquecido, como deveria ter acontecido uma década atrás. Divulgue e torne a Web um lugar mais seguro para se estar.

Créditos da imagem: Poodle com raiva, Imagem vetorial de HTTPS via Shutterstock.

Com mais de 20 anos de experiência em TI, treinamento e negociações técnicas, é meu desejo compartilhar o que aprendi com qualquer pessoa disposta a aprender. Esforço-me para fazer o melhor trabalho possível, da melhor maneira possível e com um pouco de humor.