Aptikta SSL v3.0 protokolo programinės įrangos ypatingos svarbos saugumo spraga

2014-11-27

Lietuvos Respublikos ryšių reguliavimo tarnybos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys (CERT-LT) įspėja, kad aptikta pavojinga SSL 3.0 versijos (v3.0) protokolo programinės įrangos spraga.

2014 m. lapkričio mėn 24 d. CERT-LT turimais duomenimis, Lietuvoje yra daugiau kaip 14 000 įrenginių, kuriuose yra SSL v3.0 protokolo saugumo spraga. Apie tai informuoti interneto paslaugų teikėjai, kurių priežiūroje yra pažeidžiamų įrenginių IP adresai.

SSL ‒ saugaus sujungimo lygmuo (angl. Secure Sockets Layer), t.y. kriptografinis protokolas, skirtas informacijai, sklindančiai internete, apsaugoti užšifruojant. SSL protokolas naudojamas interneto naudotojo programinės įrangos ir tarnybinės stoties programinės įrangos komunikacijos užšifravimui. SSL protokolas dažniausiai naudojamas interneto svetainėse, siekiant užtikrinti visos puslapiuose įvedamos informacijos privatumą ir saugumą.

SSLv3.0 protokolo blokinio šifravimo algoritmo aptikta saugumo spraga (angl. POODLE Attack) piktavaliui leidžia vykdyti MITM ataką (angl. Man-in-the-Middle) ir iššifruoti sujungimą, taip pat perimti visus perduodamus interneto naudotojo duomenis. Atakos metu pažeidžiama tiek tarnybinių stočių programinė įranga, tiek interneto naudotojo programinė įranga, kurioje naudojamas SSL v3.0 protokolo blokinis šifravimo algoritmas.

Šiuo metu atnaujinimų, kurie pašalintų šią saugumo spragą, nėra, todėl CERT-LT rekomenduoja:

Interneto naudotojams:

Interneto naršyklėje išjunkite SSL v3.0 palaikymą. SSL ryšiui palaikyti bus naudojama senesnė protokolo versija.

Instrukcija, kaip išjungti SSL v3.0 protokolą, kai yra įdiegta išvardyta programinė įranga:

„Firefox“
1. Surinkite naršyklės adreso laukelyje: about:config.
2. Pasirinkite security.tls.version.min.
3. Spauskite „Modify“ ir nustatykite reikšmę 1.

Šis metodas leis naršyklei naudoti tik šiuos protokolus: TLS v1.0, TLS v1.1 ir TLS v1.2.
SSL v3.0 protokolas pagal nutylėjimą bus išjungtas „Firefox“ naršyklės 34 versijoje, kurią planuojama išleisti artimiausiu laiku. Taip pat galima įdiegti naršyklės papildinį (angl. plugin) „SSL Version Control“.

„Thunderbird“
1. Atidarykite „Thunderbird“ nustatymus (angl. Preferences).
2. Spauskite mygtuką „Advanced“.
3. Pasirinkite „General Tab“.
4. Spauskite „Config Editor“.
5. Pasirinkite security.tls.version.min.
6. Spauskite „Modify“ ir nustatykite reikšmę 1.

„Internet Explorer“
1. Atidarykite nustatymų meniu (angl. Setting menu).
2. Pasirinkite interneto nuostatas (angl. Internet Options).
3. Pasirinkite „Advanced tab“.
4. Prie SSL v3.0 nuimkite varnelės žymą.

„Safari“
1. Įdiekite naujausius „Apple“ 2014-005 išleistus atnaujinimus.

Papildomos nuorodos:

Pasitikrinti, ar naršyklė yra pažeidžiama galite adresu https://www.poodletest.com/ .
Patikrinti tarnybinę stotį galima adresu https://www.ssllabs.com/ .


Tarnybinių stočių administratoriams siūloma taikyti vieną iš toliau išvardytų metodų:

1.Išjungti SSL v3.0 protokolo palaikymą, tokiu atveju bus naudojamos senesnės SSL protokolo versijos.
2. Naudoti RC4 šifravimo algoritmą SSL v3.0 protokole.
3. Atnaujinti tarnybinių stočių programinę įrangą, kad ji palaikytų SCSV protokolą. Jei vartotojo programinė įranga ir tarnybinės stoties programinė įranga palaikys SCSV protokolą, minėta saugumo spraga nebus išnaudojama.

Instrukcija, kaip išjungti SSL v3.0 protokolą tarnybinėse stotyse, kuriose įdiegta išvardyta programinė įranga:

„Apache HTTP“
Tarnybinės stoties SSL konfigūraciniame faile reikia pridėti nenaudojamus protokolus:
SSLProtocolAll -SSLv2 -SSLv3.

„Nginx HTTP“
Tarnybinės stoties SSL konfigūraciniame faile reikia pridėti naudojamų SSL protokolų sąrašą: ssl_protocols TLSv1 TLSv1.1 TLSv1.2.

„Postfix“ SMTP
Tarnybinės stoties main.cf konfiguraciniame faile reikia pridėti šią eilutę: smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3.

„Microsoft IIS Internet Information Server“
Tarnybinės stoties registre būtina atlikti šiuos pakeitimus:
HKey_Local_MachineSystemCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 3.0Server,nustatyti 0 reikšmę prie veikimo rakto (angl. Enabled).

Šaltiniai:
https://www.us-cert.gov/ncas/alerts/TA14-290A
https://www.openssl.org/~bodo/ssl-poodle.pdf
https://www.openssl.org/news/secadv_20141015.txt

CERT-LT svetainėje vartotojai patys gali pasitikrinti, ar jų kompiuteris saugus. Spustelėjus nuorodą https://www.nksc.lt/irankiai.html, galima pasitikrinti, ar kompiuteris neužfiksuotas kaip dalyvaujantis botneto veikloje, ar neturi saugumo spragų, pasitikrinti įtartinas bylas, sužinoti savo kompiuterio IP adresą.

Visi pranešimai