Po osiemnastu latach protokół SSL 3.0 idzie na emeryturę.
Niestety nie jest to odejście klasycznego emeryta lecz raczej polityka – z wielkim
hukiem i w dźwiękach wielkiego skandalu. Oto ogłoszono w zeszłym tygodniu, że
atak nazwany pieszczotliwie POODLE, pozwala na przechwycenie ciasteczek, które
używane są do logowania w serwisach internetowych. Problem więc dotknął
wszystkich i wszystkiego. Od tygodnia trwają gorączkowe prace mające na celu
rezygnację z tego protokołu od strony serwerów świadczących usługi jak i od
strony klientów (przeglądarek), gdzie blokujemy możliwość korzystania ze
skompromitowanego protokołu SSL 3.0.
Niestety mówi się o tym bardzo mało – zdecydowanie za mało.
Media uznawane za powszechne nie wspomniały o tym (sam nie oglądam, ale
odpytałem znajomych – nikt nie wychwycił takiego newsa). Prasa informatyczna
wspomina o tym raczej jak o ciekawostce typu „a dziś w zoo urodził się nowy
mieszkaniec…”. Ci, którzy coś napiszą z rzadka wymieniają też inne protokoły,
które cieszą się podobną sławą: SSL 2.0, TLS 1.0 oraz obecnie mniej znany PCT 1.0.
Wszystko szkoda, nie dobrze i źle!
Jak doszło do złamania protokołu, na czym to polega to
przeczytacie w wielu artykułach w
Internecie. Mało który artykuł jednak dotyka konsekwencji skompromitowania SSL
3.0. I to jest to miejsce w którym chciałbym poświęcić kilka minut na kilka
przykładów, które mam nadzieję, pozwolą puścić wodze wyobraźni.
Po pierwsze
Windows XP MUSI w końcu przejść do lamusa. Kochamy go całym sercem (i chyba nie
tylko sercem), nie możemy się z nim rozstać, Microsoft już dawno temu zakończył
wsparcie dla tego systemu a my ciągle i uparcie przy nim tkwimy. W gruncie
rzeczy nie dziwię się, że przyzwyczajono nas, że jak coś działa to po co psuć?
Teraz jednak jeśli chcemy bezpiecznie pracować na komputerze to czas zapomnieć
o Windows XP. Internet Explorer, który w wielu przypadkach jest wprost wymagany
do otwierania niektórych witryn/aplikacji, nie ma możliwości ustawienia
protokołów TLS 1.1 i TLS 1.2. Słowem nie można w Windows XP bezpiecznie
nawiązać połączenie szyfrowanego (https). Można się wprawdzie wspomóc inną
przeglądarką, ale faktem jest, że nie wszystko na nich zadziała.
Po drugie. Ciągle
jest bardzo dużo serwisów (zwłaszcza w strefie biznesu), gdzie witryny
obsługują wyłącznie SSL 3.0. Stąd też po rekonfiguracji przeglądarek (aby nie łączyły
się po trefnych protokołach) okazuje się, że firmy nie mogą realizować swoich
zadań/obowiązków biznesowych. W większości przypadków jesteśmy zmuszenie wrócić
do obsługi SSL 3.0 wystawiając się tym samym na skuteczne ataki hackerów. Błędne
koło. Szczęśliwie instytucje finansowe błyskawicznie zrezygnowały z obsługi
złamanych protokołów. Co jednak z pozostałymi? Wiele wskazuje na to, że jeszcze
trochę poczekamy na poprawę.
Co zrobić w takiej sytuacji? Wiele nam nie pozostaje. Ja sugerują ustawić obsługę
SSL 3.0 tylko w jednej z przeglądarek i korzystać z niej tylko wtedy, gdy nas
do tego zmuszą. Zdecydowanie jednak zalecam dobrze rozważyć słowo „zmuszą” –
może jednak nie musimy korzystać z usług firm, które nie nadążają za biegiem
teraźniejszości? Może jest to odpowiedni moment weryfikacji naszych współpracujących
z nami parnerów?
Po trzecie. Tu właściwie możemy otworzyć cały worek konsekwencji
związanych z przejęciem naszego konta na serwerze usługi. W przypadku
instytucji bankowych będą to wymierne straty pieniężne. W przypadku sklepów
internetowych, gdzie mamy ustawione automatyczne płacenie (a są takie!), straty
pieniężne. W przypadku kont społecznościowych, spore problemy z utrzymaniem
naszego wizerunku jak i bezpieczeństwa osobistego i rodzinnego, itp. itd…
Przykładów można mnożyć w nieskończoność. Na co dzień
niestety staramy się o tym nie myśleć, poklepując siebie po plecach i mówiąc „jakoś
to będzie”. Zagrożenie jest jednak wyraźne i realne. Warto poświęcić kilka
minut na to aby jednak przemyśleć to jeszcze raz i może zastosować się do
nowych realiów powszechnie dostępnego Internetu?
Tu możesz sprawdzić czy Twoja przeglądarka jest podatna na atak POODLE:
https://www.poodletest.com/
