Usando uma vulnerabilidade no SSL 3.0, os invasores podem injetar códigos maliciosos em seu computador e comprometê-los. Eles também podem comprometer servidores de hospedagem na Web usando o mesmo SSL 3.0. A maioria dos navegadores ainda suporta o SSL3, já que a maioria dos servidores da Web ainda usa o SSL 3.0 para comunicação, como login, preenchimento de formulários de qualquer tipo, etc.
Ataque de segurança Poodle
Secure Sockets Layer ou SSL é um protocolo criptográfico projetado para fornecer segurança de comunicação pela Internet. Agora é superado por Segurança da Camada de Transporte ou TLS.
o Ataque de caniche permite que um criminoso da Web intercepte os dados que estão sendo enviados pela conexão SSL3. Não só ele pode interceptar os dados, como o criminoso da Web pode injetar seus próprios dados na conexão, fazendo com que o site acredite que veio do navegador. Da mesma forma, faz o navegador acreditar que os dados maliciosos vêm do servidor da web.
POODLE é a abreviação de Preenchendo o Oracle na Criptografia Legada Desatualizada. É uma falha de protocolo e não está relacionada à implementação. Isso significa que, independentemente de como o SSL3 é implementado por navegadores ou hosts, a falha estará lá para os invasores explorarem. O único método para evitar que você seja hackeado é desabilitar o SSL3.0 em seus navegadores e servidores de hospedagem na web.
Você pode testar a vulnerabilidade de seus navegadores visitando este site usando o navegador que deseja verificar: ssllabs.com.
Desativar o SSL 3.0
Para se proteger contra ataques de segurança do Poodle, você pode querer desativar ou bloquear o SSL 3.0 em seu navegador da web.
Internet Explorer: Abra a caixa de diálogo Opções da Internet no Painel de controle e vá para a guia avançada. Verifique o uso de SSL 3.0 e desmarque-o.
F irefox: Para obter a opção de desativar o SSL3, digite "about: config" na barra de endereço. Procurar por security.tls.version.min nos resultados ou use a barra de pesquisa para procurá-lo. Clique duas vezes na linha e altere o valor de 0 para 1. Isso forçará o Firefox a usar somente TLS1.0 e superior, desabilitando assim o SSL3.0.
O Firefox já disse que desabilitará o SSL 3.0 em sua próxima versão, assim como desativou o Java 6 quando este último foi considerado altamente vulnerável.
Google Chrome: Não é visível nas configurações. É preciso adicionar um parâmetro ao atalho do Chrome para que ele desative o SSL3 e force apenas o TLS. Clique com o botão direito do mouse no atalho e selecione Propriedades. No campo chamado Target, acrescente –Ssl-version-min = tls1. Então seu caminho deve aparecer como:
'C:Program Files (x86)GoogleChromeApplicationchrome.exe' --ssl-version-min=tls1
Mesmo o Google disse que, nos próximos meses, espera remover completamente o suporte para o SSL 3.0 de todo o seu produto cliente.
Proprietários do site ou hosts: Como proprietário de um site ou host da Web, considere desabilitar o SSL 3 em seus servidores o mais rápido possível
Para obter detalhes completos sobre o ataque POODLE e a vulnerabilidade do SSL 3.0, visite oracle.com.
Posts relacionados:
- Dicas e truques do Google Chrome para usuários do Windows
- O que é Vulnerabilidade de Software e Vulnerabilidade de Dia Zero na Segurança do Computador?
- Lista de navegadores alternativos para o Windows
- Guia de Remoção de Malware e Ferramentas para Iniciantes
- O que significa ataque, exploração ou vulnerabilidade do Dia Zero?
