Wotum nieufności dla SSL 3.0 przyjęte!

Po osiemnastu latach protokół SSL 3.0 idzie na emeryturę. Niestety nie jest to odejście klasycznego emeryta lecz raczej polityka – z wielkim hukiem i w dźwiękach wielkiego skandalu. Oto ogłoszono w zeszłym tygodniu, że atak nazwany pieszczotliwie POODLE, pozwala na przechwycenie ciasteczek, które używane są do logowania w serwisach internetowych. Problem więc dotknął wszystkich i wszystkiego. Od tygodnia trwają gorączkowe prace mające na celu rezygnację z tego protokołu od strony serwerów świadczących usługi jak i od strony klientów (przeglądarek), gdzie blokujemy możliwość korzystania ze skompromitowanego protokołu SSL 3.0.

Niestety mówi się o tym bardzo mało – zdecydowanie za mało. Media uznawane za powszechne nie wspomniały o tym (sam nie oglądam, ale odpytałem znajomych – nikt nie wychwycił takiego newsa). Prasa informatyczna wspomina o tym raczej jak o ciekawostce typu „a dziś w zoo urodził się nowy mieszkaniec…”. Ci, którzy coś napiszą z rzadka wymieniają też inne protokoły, które cieszą się podobną sławą: SSL 2.0, TLS 1.0 oraz obecnie mniej znany PCT 1.0.

Wszystko szkoda, nie dobrze i źle!

Jak doszło do złamania protokołu, na czym to polega to przeczytacie  w wielu artykułach w Internecie. Mało który artykuł jednak dotyka konsekwencji skompromitowania SSL 3.0. I to jest to miejsce w którym chciałbym poświęcić kilka minut na kilka przykładów, które mam nadzieję, pozwolą puścić wodze wyobraźni.

Po pierwsze Windows XP MUSI w końcu przejść do lamusa. Kochamy go całym sercem (i chyba nie tylko sercem), nie możemy się z nim rozstać, Microsoft już dawno temu zakończył wsparcie dla tego systemu a my ciągle i uparcie przy nim tkwimy. W gruncie rzeczy nie dziwię się, że przyzwyczajono nas, że jak coś działa to po co psuć? Teraz jednak jeśli chcemy bezpiecznie pracować na komputerze to czas zapomnieć o Windows XP. Internet Explorer, który w wielu przypadkach jest wprost wymagany do otwierania niektórych witryn/aplikacji, nie ma możliwości ustawienia protokołów TLS 1.1 i TLS 1.2. Słowem nie można w Windows XP bezpiecznie nawiązać połączenie szyfrowanego (https). Można się wprawdzie wspomóc inną przeglądarką, ale faktem jest, że nie wszystko na nich zadziała.

(o tym jak wyłączyć skompromitowane protokoły w przeglądarkach piszemy tu: http://blog.plik.pl/2014/10/wyaczenie-ssl-30-oraz-tls-10-w.html )

Po drugie. Ciągle jest bardzo dużo serwisów (zwłaszcza w strefie biznesu), gdzie witryny obsługują wyłącznie SSL 3.0. Stąd też po rekonfiguracji przeglądarek (aby nie łączyły się po trefnych protokołach) okazuje się, że firmy nie mogą realizować swoich zadań/obowiązków biznesowych. W większości przypadków jesteśmy zmuszenie wrócić do obsługi SSL 3.0 wystawiając się tym samym na skuteczne ataki hackerów. Błędne koło. Szczęśliwie instytucje finansowe błyskawicznie zrezygnowały z obsługi złamanych protokołów. Co jednak z pozostałymi? Wiele wskazuje na to, że jeszcze trochę poczekamy na poprawę.

Co zrobić w takiej sytuacji? Wiele nam nie pozostaje. Ja sugerują ustawić obsługę SSL 3.0 tylko w jednej z przeglądarek i korzystać z niej tylko wtedy, gdy nas do tego zmuszą. Zdecydowanie jednak zalecam dobrze rozważyć słowo „zmuszą” – może jednak nie musimy korzystać z usług firm, które nie nadążają za biegiem teraźniejszości? Może jest to odpowiedni moment weryfikacji naszych współpracujących z nami parnerów?

Po trzecie. Tu właściwie możemy otworzyć cały worek konsekwencji związanych z przejęciem naszego konta na serwerze usługi. W przypadku instytucji bankowych będą to wymierne straty pieniężne. W przypadku sklepów internetowych, gdzie mamy ustawione automatyczne płacenie (a są takie!), straty pieniężne. W przypadku kont społecznościowych, spore problemy z utrzymaniem naszego wizerunku jak i bezpieczeństwa osobistego i rodzinnego, itp. itd…

Przykładów można mnożyć w nieskończoność. Na co dzień niestety staramy się o tym nie myśleć, poklepując siebie po plecach i mówiąc „jakoś to będzie”. Zagrożenie jest jednak wyraźne i realne. Warto poświęcić kilka minut na to aby jednak przemyśleć to jeszcze raz i może zastosować się do nowych realiów powszechnie dostępnego Internetu?

Tu możesz sprawdzić czy Twoja przeglądarka jest podatna na atak POODLE: https://www.poodletest.com/