کشف ضعف امنيتي در نسخه قديمي SSL که ميتواند در حملات مبتني بر سرقت اطلاعات، از ارتباط بين 2 کاربر (Man-in-the-Middle Attack) استفاده شود. موجب ميشود که مرورگرها اقدام به حذف پروتکل SSL 3.0 کنند.
راهکار: غير فعال کردن SSL 3.0 در مرورگرها و سرورها
اين توصيه کارشناسان امنيت شبکه ميباشد که پروتکل SSL نزديک به 15 سال، جهت رمزنگاري ارتباطات امن بکار ميرود. حفرهاي که دراين پروتکل شناسايي شده ميتواند براي حمله و سرقت اطلاعات کاربري مورد استفاده قرار گيرد.
محققان گوگل در هفته گذشته اعلام کردند که يک حفره امنيتي با شناسه (CVE-2014-3566) در نسخه SSL 3.0 پيدا شده که در Sessionهاي Web و غيره امکان سرقت اطلاعات کاربر را ممکن ميسازد.
تيم امنيتي گوگل پس از دريافت خبر حفره امنيتي SSL در پست يک وبلاگ که نوشته بود (نگران در راه بودن مشکل بزرگ اينترنتي هستند) اعلام کرد: ديگر SSL 3.0 را ساپورت نميکند و از مکانيزم TLS- FALLBACK-SCSV براي جلوگيري از حمله SSL 3.0 استفاده ميکند و کاربران هم هرچه زودتر بايد مرورگر خود را به روز کنند.
از مدت ها قبل SSL 3.0 با ورژنهاي جديد 1.0 TLS و 1.2 جايگزين شده که برخي کامپيوترها و نرم افزارهاي قديمي از SSL 3.0 استفاده ميکنند. شرکت گوگل اعلام کرده که در محصولات خود مانند Chrome پروتکل SSL 3.0 راحذف ميکند و نيز شرکت Mozilla هم در مرورگر Firefox خود از 25 نوامبر ديگر SSL 3.0 را پشتيباني نميکند.
بنا به برخي گزارشات هنوز 98% سايت ها براي سرويس دهي به سيستمهاي قديمي از SSL 3.0 استفاده ميکنند. البته اين موضوع به بدي حمله Heart Bleed نيست ولي يک تهديد بلقوه بزرگ ميباشد.
بنا به گفته Dan Kaminsky (صاحب نظر در حوزه امنيت شبکه) در شرکت WhiteOps، ضعف امنيتي مورد نظر تنها با غير فعال کردن SSL رفع ميشود که اين روش خيلي مناسب نميباشد زيرا باوجود قديمي بوده TLS بسياري از کاربران همچنان با SSL کار ميکنند.
Ivan Ristic مهندس Qualys و متخصص SSL ميگويد: قبول دارد حفره امنيتي Poodle، همانند Heart Bleed نيست ولي مشکلي بزرگ که قابل حل ميباشد، حمله به SSL 3.0 به اين سادگي نميباشد و نياز به حملهاي استاندارد دارد که برخي آن را به صورت موفقيت آميز انجام دادهاند. ولي سوال اينجاست که به چه انگيزهاي اين کار را انجام دادهاند؟
به گفته کارشناسان اين خبر خوبي است که Poodle زنگ اخطار استفاده از SSL 3.0 را به صدا درآورده است.
به نظر Ivan Ristic از دور خارج کردن SSL 3.0 که يک پروتکل قديمي و پرمصرف است، خيلي دشوار ميباشد.
زماني که هر دو سرويس گيرنده و سرور از SSL 3.0 استفاده کنند اين حمله ميتواند از طريق Poodle صورت گيرد که اين حمله به صورت زير انجام مي شود:
حمله کننده يک کد مخرب جاوا را در مرورگر اجرا کرده و کاربر هم از سايت غير Encrypt بازديد و به عنوان مثال بعد از آلوده شدن مرورگر وقتي کاربر سايت مدنظر را بازديد کرد، حمله کننده به Cookies و Credential کاربر دسترسي پيدا ميکند.
اين يک حمله روي سيستم کاربر است و شبيه به حمله Beast در سال 2011 ميباشد.
به گفته Karl Sigler مدير تهديد اطلاعات شرکت Trustwave حمله Poodle در صورتي که قرباني و مهاجم هر دو در يک جا باشند (از لحاظ فيزيکي) و هر دو نيز آنلاين باشند، ميتوان رخ دهد. به طور مثال در يک کافي شاپ که هر دو از طريق WiFi عمومي به هم وصل شدهاند.
نرم افزارهاي کلايني VPN مبتني بر SSL به احتمال زياد توسط Poodle مورد حمله قرار نميگيرند. Ivan Ristic ميگويد: فکر نميکنم که اين حمله روي کلاينتهاي VPN صورت گيرد، هر چند که سيستمهاي پيشرفته از SSL 3.0 استفاده ميکند.
پس چرا SSL هنوز مورد استفاده است؟ چون خيليها هنوز از IE6 و ويندوز XP استفاده ميکنند و غير فعال کردن SSL 3.0 يعني قطع ارتباط آنها.
با اين حال مرکز SANS Internet Storm يک تست آنلاين رايگان براي تهديد Poodle گذاشته است که کاربران ميتوانند با مراجعه به سايت https://poodletest.com مرورگر خود را در برابر اين آسيب تست کند. اگر مرورگر آسيب پذير باشد يک سگ پشمالو نشان ميدهد و اگر مرورگر آسيب پذير نباشد يک سگ اسپرينگ فيلد را نشان ميدهد.