HABER MRK - Özellikle internetten alışveriş ve kullanıcı bilgileri ile bağlanılan sitelerde şifrelenmiş güvenli veri iletişimi sağlayan SSL kodlaması üzerinde yeni bir bir güvenlik açığı ortaya çıktı. Yaklaşık 15 senedir kullanılan SSL şifrelemesi web sitesine bağlanan kullanıcılar ile web sitesi arasındaki trafiği şifreliyor. Son dönemde ise siteler genellikle yeni bir sürüm olan TLS şifrelemesini kullanıyorlar. POODLE (Padding Oracle On Downgraded Legacy Encryption) adı verilen bu güvenlik açığında ise eğer iki taraftan bir tanesi yeni sürüm olan TLS’yi desteklemezse ortaya çıkıyor. İki nokta arasındaki trafik eski sürüm olan SSL 3.0 üzerinden şifreleniyor. Bu sayede kötü niyetli kişiler güvenlik açığı bulunan eski sürüm üzerinden iki nokta arasındaki bağlantıyı izleyebiliyorlar.

Trend Micro Akdeniz Ülkeleri Genel Müdürü Yakup Börekcioğlu, PODDLE güvenlik açığı hakkında verdiği bilgide, “Bu saldırıyı gerçekleştirmek ShellShock ve Heatbleed güvenlik açıkları kadar kolay değil. Fakat bu sorunun temeli güvenlik protokolündeki bir tasarım hatasına dayanıyor. Sorunu engellemek için en kesin çözüm SSL 3.0 protokolünü devre dışı bırakmak” şeklinde konuştu.

Nasıl önlem alabilirsiniz?
SSL 3.0 protokolünü devre dışı bırakan kullanıcılar bu güvenlik açığından korunarak internet trafiklerini gizli tutabiliyorlar. Web sitesi yöneticileri de aynı şekilde SSL 3.0 protokolünü devre dışı bırakarak kendi veri akışlarının izlenmesini engelleyebilirler.

Son kullanıcılar için çözümler:
-Chorme web tarayıcısı kullananlar programı “–ssl-version-min=tls1” komutuyla birlikte çalıştırdıklarında yeni sürüm olan TLS protolünün dışında bir şifreleme protokolünün kullanılmasını engelleyebilirler.


-Firefox kullanıcıları, arama çubuğuna “about:config” yazıp ayarlara girerek “security.tls.version.min” değerinin karşısına 1 yazdıklarında SSL 3.0 protokolünün kullanılmasını engelleyebilirler.


-Internet Explorer kullanıcıları, Security Advisory 3009008’daki basamakları izleyerek SSL 3.0 protokolünü durdurabilirler.



Kurumlar için çözümler:
-Sunucuların korunması için IIS 7 üzerindeki SSL 2.0 ve SSL 3.0 protokollerini bu bağlantı üzerinden kapatabilirisiniz.


-Apache httpd + mod_ssl i korumak için: SSLProtocol All -SSLv2 –SSLv3


-Nginx ‘i korumak için: ssl_protocols TLSv1 TLSv1.1 TLSv1.2
 


Bazı web sitelerinin hala SSL 3.0 protokolü kullanmasından dolayı bu protkolü durdurmak bazı eski web sitelerine girişte sorunlar yaratabiliyor. SSL 3.0 protokolünün kullanılmasına izin veren TLS_FALLBACK_SCSV mekanizmasının sadece gerekli olduğu durumlarda kullanılması öneriliyor. (İLKHA)