1906 öncesi Anton Schroedl 'Kırık Kupa'
1906 öncesi Anton Schroedl 'Kırık Kupa'

Heartbleed, Shellshock... KANİŞ?

Açık kaynaklı yazılımda keşfedilen en son ciddi kusur, dün (Ekim. 14) tarafından Google araştırmacıları, korkunç bir adı olmayabilir (Bu, Eski Sürüm Şifrelemede Dolgu Oracle'ın kısaltmasıdır). Ancak Windows, Mac OS X veya Linux çalıştırsanız da POODLE, Web tarayıcınızın güvenli web siteleriyle etkileşim şeklini doğrudan etkiler.

Wi-Fi trafiğinizi gözetleyen bir saldırgan, güvenli Web'inizin kimliğini doğrulayan "çerezleri" yakalamak için POODLE'ı kullanabilir. Facebook veya bir banka web sitesi gibi bağlantılar, ardından en azından hesaplarınızı ele geçirmek için bu çerezleri yeniden kullanın geçici.

DAHA: Muhtemelen Yaptığınız 12 Bilgisayar Güvenliği Hatası

Neyse ki, büyük tarayıcı üreticilerinin POODLE için yamalar yayınlamasını beklerken bile bunun olmamasını sağlamanın yolları var. (Tarayıcınızda POODLE güvenlik açığı olup olmadığını kontrol edebilirsiniz. https://www.poodletest.com/ veya https://poodle.io/.)

Microsoft Internet Explorer

Sağ üst köşedeki Araçlar simgesini tıklayın (simge dişli çark gibi görünür). Aşağı kaydırın ve İnternet Seçenekleri'ni tıklayın. Açılan açılır pencerede, Gelişmiş sekmesini seçin, ardından Güvenlik kategorisine ulaşana kadar ayarlar listesinde ilerleyin. SSL 3.0 Kullan'ın işaretini kaldırın, Uygula'ya ve ardından Tamam'a tıklayın.

Mozilla Firefox

Adres çubuğuna about: config yazın ve Enter veya Return tuşuna basın. "Dikkatli olacağım, söz veriyorum!" ortaya çıkan uyarı penceresinde. Tercihler listesini aşağı kaydırın ve "security.tls.version.min" üzerine çift tıklayın. Tam sayıyı 0'dan 1'e değiştirin ve Tamam'a tıklayın.

Google Chrome

Google Chrome için geçici olarak deneyimli bir kullanıcı olmanız ve bir komut satırı kullanmanız gerekir. Talimatlar Windows, Mac ve Linux için biraz farklıdır.

Windows'ta önce Chrome'un çalışan herhangi bir sürümünü kapatın. Normalde Chrome'u başlatmak için tıkladığınız masaüstü kısayolunu bulun ve sağ tıklayın. Aşağı kaydırın ve Özellikler'i tıklayın. Kısayol sekmesini tıklayın. "/Chrome.exe" ile bitmesi gereken Hedef alanına bir boşluk ekleyin ve ardından şunu ekleyin: "--ssl-version-min = tls1" (tırnak işaretleri olmadan). Uygula'yı ve ardından Tamam'ı tıklayın.

Mac OS X'te önce Chrome'dan çıkın. Yardımcı Programlar klasöründeki Terminal komut satırı uygulamasını açın (Command + Shift + U yazarak erişilebilir). Terminal'e "/ Applications / Google Chrome.app/Contents/MacOS/Google Chrome --ssl-version-min = tls1" yazın (tırnak işaretleri olmadan).

Linux'ta Chrome'dan çıkın. Bir konsol penceresi açın ve "google-chrome --ssl-version-min = tls1" yazın (tırnak işaretleri olmadan).

Tüm bu tarayıcıları yeniden başlatın (ve Internet Explorer söz konusu olduğunda bilgisayarı yeniden başlatın) ve gitmekte fayda var.

POODLE nasıl ortalığı karıştırır?

POODLE, her ikisi de BT yöneticilerinin sistemleri önümüzdeki aylarda yamalamasını sağlayacak öncekiler kadar felaket değil.

"Heartbleed / Shellshock 10 puan alırsa, bu saldırı sadece 5 civarındadır" yazdı Robert GrahamAtlanta'daki Errata Security CEO'su ve Shellshock takma adının popülerleştiricisi.

POODLE, ilk olarak 1996'da yazılan ve uzun zamandan beri daha yeni protokollerle değiştirilen SSL 3.0 Web güvenlik protokolünde yerleşik olan kusurlardan yararlanır. Sorun, bire bir iletişimlerini şifrelemek isteyen iki bilgisayarın önce hangi protokolün kullanılacağı konusunda anlaşması gerektiğinden ortaya çıkıyor; Taraflardan biri SSL 3.0'da ısrar ederse, diğer taraf da takip etmelidir.

SSL 3.0 şifreleme prosedürlerindeki kötü matematik nedeniyle, hedef olarak aynı yerel ağı paylaşan kararlı bir saldırgan tarayıcıların yetkili tutmak için kullandığı oturum çerezlerini kırmak ve çalmak için yalnızca 256 permütasyonun çalıştırılması gerekir bağlantılar. Bu, sosyal ağları, çevrimiçi e-posta hesaplarını ve muhtemelen çevrimiçi banka hesaplarını yerel Starbucks'taki kalabalığın içinde gizlenmiş hacker'a ifşa eder.

Microsoft Windows XP ile birlikte gelen ve Microsoft'un amiral gemisi tarayıcısı olarak beş yıllık bir hüküm sürmüş olan Internet Explorer 6 hala kullanıldığı için SSL 3.0 hala kullanılmaktadır. IE6, SSL 3.0'ın halefini kullanamaz, TLS 1.0. Dolayısıyla, milyonlarca Web sunucusu SSL 3.0'ı canlı tutuyor, böylece IE 7 veya IE 8'e hiç yükseltmemiş milyonlarca Windows XP kullanıcısı bu siteleri görebiliyor.

Sunucu tarafında ve istemci (Web tarayıcısı) tarafında SSL 3.0'ı devre dışı bırakmak o kadar da korkunç olmayabilir. Ağ güvenilirliği sağlayıcısı CloudFlare dün gece, trafiğinin yalnızca yüzde 0,09'unun protokolü kullandığını belirledikten sonra bunu tüm istemcileri için varsayılan olarak yaptı. (CloudFlare istemcileri SSL 3.0'ı manuel olarak yeniden açabilir.)

"Umarım bu, devenin sırtını kıran ve bizi SSLv3 gibi eski protokolleri terk etmemize götüren çöp olur," yazdı Matthew GreenJohns Hopkins Üniversitesi'nde bir kriptografi uzmanı olan blogunda. "Ama kimse güvensizlik üzerine bahse girmedi. Bundan 10 yıl sonra, hala POODLE ve onun öldürücü et yiyen yavruları üzerinde çalışmanın yollarından bahsediyor olmamız mümkün. "

  • Verilerinizi Güvende Tutmak için iOS 8 Güvenlik İpuçları
  • En İyi Ücretsiz PC Antivirüs Yazılımı 2014
  • Size Yönelik En Korkunç 7 Güvenlik Tehdidi

Paul Wagenseil, Tom's Guide'ın güvenlik ve oyun üzerine odaklanmış kıdemli bir editörüdür. Onu takip edin @hayalhanemersin. Tom's Guide'ı şurada takip edin: @tomsguide, üzerinde Facebook ve üzerinde Google+.

Flaş haberlere, en yeni incelemelere, harika fırsatlara ve faydalı ipuçlarına anında erişin.

Tom's Guide'a kaydolduğunuz için teşekkür ederiz. Kısa süre içinde bir doğrulama e-postası alacaksınız.

Bir problem vardı. Lütfen sayfayı yenileyin ve tekrar deneyin.

Spam yok, söz veriyoruz. İstediğiniz zaman aboneliğinizi iptal edebilirsiniz ve izniniz olmadan bilgilerinizi asla paylaşmayız.