Αποδεικνύεται ότι η κρυπτογράφηση Secure Sockets Layer (SSL) που αναφέρουμε σαν ασφαλή επικοινωνία στο διαδίκτυο έχει ευπάθεια. Σήμερα ερευνητές από την Google ανακοίνωσαν (PDF) ότι έχουν ανακαλύψει ένα bug (POODLE) στο πρωτόκολλο SSL 3.0. Το exploit θα μπορούσε να χρησιμοποιηθεί για την παρακολούθηση ευαίσθητων δεδομένων που υποτίθεται ότι πρέπει να είναι κρυπτογραφημένα μεταξύ του client και του server.
Το exploit πρώτο επιτρέπει στους επιτιθέμενους να ξεκινήσουν έναν “χορό υποβαθμίσεων” ή “downgrade dance” όπως το αναφέρει η Google, που λέει στον πελάτη ότι ο διακομιστής δεν υποστηρίζει το πιο ασφαλές πρωτόκολλο TLS (Transport Layer Security), και τον αναγκάζει να συνδεθεί μέσω SSL 3.0. Από εκεί και πέρα μπορεί να πραγματοποιήσει μια επίθεση man-in-the-middle για να αποκρυπτογραφήσει τα ασφαλή HTTP cookies. Η Google ονομάζει την ευπάθεια POΟDLE (Padding Oracle On Downgraded Legacy Encryption).
Με άλλα λόγια, τα δεδομένα σας δεν είναι πλέον κωδικοποιημένα. Οι ερευνητές της Google, Bodo Möller, Thai Duong και Krzysztof Kotowicz συνιστούν την απενεργοποίηση του SSL 3.0 στους servers και στα clients. Ο διακομιστής και ο πελάτης θα προκαθορίσει την TSL για να πραγματοποιηθεί μια ασφαλής σύνδεση και η εκμετάλλευση δεν θα είναι δυνατή.
Για τους τελικούς χρήστες, αν ο browser σας το υποστηρίζει, απενεργοποιήστε το πρωτόκολλο SSL 3.0 ή ακόμα καλύτερα να χρησιμοποιήσετε εργαλεία που υποστηρίζουν TLS_FALLBACK_SCSV (Transport Layer Security Signalling Cipher Suite Value). Αυτό θα αποτρέψει επιθέσεις υποβάθμισης. Η Google ανέφερε ότι θα ξεκινήσει δοκιμές στο Chrome για την απενεργοποίηση της χρήσης του SSL 3.0 πριν αφαιρέσει την υποστήριξη του πρωτοκόλλου εντελώς από όλα τα προϊόντα της μέσα στους επόμενους μήνες. Στην πραγματικότητα, υπάρχει ήδη διαθέσιμο ένα Chromium patch που απενεργοποιεί την SSL.
Το ίδρυμα Mozilla σχεδιάζει να απενεργοποιήσει επίσης το SSL 3.0 στον Firefox. “Η SSLv3 θα απενεργοποιηθεί από προεπιλογή στον Firefox 34, ο οποίος θα κυκλοφορήσει στις Νοεμβρίου 25.”
Όποιος ενδιαφέρεται για την απενεργοποίηση την SSL 3.0 στον Firefox, μπορεί να το κάνει με το SSL Version Control add on για τον Firefox.