SSL ile güvenlik seviyesi ile ilgili bu yıl oldukça hareketli geçiyor HeartBleed‘den sonra Poodle adı verilen geniş çaplı kritik etki yaratan bir açık daha bulundu. Aslında sadece bu konu da değil global çapta herkesi ve hemen hemen her sistemi etkileyen ShellShock zaafiyeti’de hala tazeliğini koruyor. Bu gibi açıkların ortaya çıkmaları iyi oluyor çünkü bu zaafiyetleri zeroday olarak uzun süreden beri kullanan bir çok zararlı yazılım olduğunu görüyoruz.
Poodle (Padding Oracle On Downgraded Legacy Encryption), SSL’in 3.0 protokolünde şifrelenen verilerin ufak bir manipülasyon ile kolayca deşifre eden sömürünün kısaltılmış adı. Henüz protokol ve işletim sistemi bazında herhangi bir yama yayınlanmadı fakat güvenlik uzmanlarının önerdiği en etkili yöntem SSL v3.0 protokolünü hem tarayıcıda hemde sunucu üzerinde kapatmak olduğu genel kabul görmüş bir yöntem.
Poodle zaafiyeti HeartBleed kadar yaygın olmamakla birlikte etkisi gerçekten kritik seviyede o nedenle acil önlem alınması gerekiyor.
POODLE Atağı Nedir?
Bu atak veri şifrelemede SSL v3.0 protokolü kullanan tarayıcı ve sunucu üzerinde gerçekleştirilebilen bir ataktır. Temelde saldırgan Man in The Middle tekniğini kullanarak sunucu ile istemci arasına girer ve verileri almaya başlar eğer bu aşamada istemci ve client SSL v3.0 protokolü ile şifreli haberleşiyorsa saldırganın bu şifreleri Poodle açığı üzerinden deşifre edebilmesi mümkün oluyor.
Atak tamamen SSL v3.0 protokolünden kaynaklandığının altını çizelim ne MaestroPane, nede kullanmış olduğunuz işletim sisteminden kaynaklanmamaktadır.
Konu ile ilgili daha detaylı bilgi için aşağıdaki balantıları kullanabilirsiniz.
- http://googleonlinesecurity.blogspot.nl/2014/10/this-poodle-bites-exploiting-ssl-30.html
- https://www.imperialviolet.org/2014/10/14/poodle.html
- https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/
Sunucunuzu Nasıl Korursunuz?
Pooddle ataklarından korunmanın en etkili yöntemi direkt SSL v3.0 protokolünün sunucuda kapatmak olduğunu söylemiştik. Şimdi çeşitli Web Server’lar üzerinde protokolü nasıl kapatacağımızı görelim.
IIS
IIS bu özelliği Registry’deki bir kayıttan okur. Basit bir Regedit anahtarı ile kapatabilirsiniz. Konu ile ilgili Microsoft’un ayrıca bir destek sayfası bulunuyor.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
alanına gelin. İlk açıldığında sadece SSL 2.0 protokolü için olan anahtarı görebilirsiniz. SSL 3.0 için ayrıca oluşturmamız gerekiyor.
SSL 3.0 adında bir anahtar oluşturun. Hemen ardından altında Server isminde bir anahar oluşturun ve onun altına da Enabled isminde DWORD tipinde bir kayıt açın ve değeri sıfır olsun.
Windows Server üzerinde SSL ile ilgili çok daha iyi ince ayar yapabileceğiniz IISCrypto aracını da kullanabilirsiniz.
Apache
Apache üzerinde SSL v3.0’ı kapatmak için;
SSLProtocol All -SSLv2 -SSLv3
Bu komut SSL v2.0 ve SSL v3.0’ı protokollerini kapatacaktır. Apache’deki şfreleme standartı TLS üzerinden yapılması tavsiye edilmektedir. Eğer web server’da bu implementasyon yapılmamışsa TLS desteği vermeniz önerilir.
Apache’de bir terslik var mı diye aşağıdaki komut ile kontrol ediyoruz.
apachectl configtest
ardından restart ediyoruz.
sudo service apache2 restart
Nginx
Nginx’de de SSL v3.0 desteğini kapatmak oldukça kolay. Hangi protokolleri kullanacağımızı söylemek ve ardından servisi restart etmek yeterli.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
sudo nginx -t
sudo service nginx restart
Bu temel servislerin yanı sıra Postfix SMTP, SendMail, Dovecot, Courier-imap gibi sevisler içinde SSL v3.0 desteğinin kapatılması gerektiğini hatırlatmakta fayda var.
Tarayıcınızı (Browser) Nasıl Korursunuz?
Poodle’ın hem sunucu hemde istemci tarafında etkili olarak kullanılabildiğini söylemiştik. Sunuculara yaptığımız ayarın bir benzerini kullandığınız tarayıcılar üzerinde de yapmamız gerekiyor. Aşağıdaki bölümde her tarayıcı için SSL v3.0 protokolünü nasıl kapatabileceğinizi bulabilirsiniz.
Firefox
- Tarayıcının adres çubuğuna about:config yazıp ayarlar ekranınına çılmasını sağlayın.
- search kısmından security.tls.version.min anahtrarını aratın
- security.tls.version.min değerini 0 dan 1’e çevirin.
Chrome
Chrome’da nedense direkt arayüzden bir ayarlama yapılamıyor. SSL v3.0 kullanmayacağınızı direkt başlatırken parametre olarak geçebiliyorsunuz.
- Chrome için yeni bir kısayol oluşturun
- Chrome.exe’nin arkasına –ssl-version-min=tls1 parametresini ekleyin.
Internet Explorer
Internet Explorer’da kolay bir şekilde Internet Ayarlarından SSL v3.0’ı kapatabilirsiniz.
- Ayarlar > Internet Seçenekleri > Gelişmiş alanına gelin
- Açılan ekranda User SSL 3.0 anahtarını bulup işaretini kaldırın.
Test
Gerekli düzenlemeleri yaptıktan sonra hem sunucunuzu hemde tarayıcınızı Poodl’a karşı test edebileceğiniz servisler mevcuttur. Bunların bir derlemesini aşağıda bulabilirsiniz.
Browser’ınızı test etmek için
- https://www.poodletest.com/
- https://zmap.io/sslv3/
- https://www.ssllabs.com/ssltest/viewMyClient.html
Sunucunuzu test etmek için
Manual test için aşağıdaki komutlar kullanılabilr.
curl -v3 -X HEAD https://www.domain.com
veya
nmap --script ssl-enum-ciphers -p 443 domain\.com | grep "SSLv3: No supported" || echo "Site vulnerable to poodle" (via kadir58)
Kaynaklar
