Dikkat! POODLE güvenlik açığı ile gizlice izlenebilirsiniz

POODLE güvenlik açığına karşı tüm internet kullanıcılarını uyarıyoruz:

Özellikle internetten alışveriş ve kullanıcı bilgileri ile bağlanılan sitelerde şifrelenmiş güvenli veri iletişimi sağlayan SSL kodlaması üzerinde yeni bir bir güvenlik açığı ortaya çıktı. Yaklaşık 15 senedir kullanılan SSL şifrelemesi web sitesine bağlanan kullanıcılar ile web sitesi arasındaki trafiği şifreliyor. Son dönemde ise siteler genellikle yeni bir sürüm olan TLS şifrelemesini kullanıyorlar. POODLE (Padding Oracle On Downgraded Legacy Encryption) adı verilen bu güvenlik açığında ise eğer iki taraftan bir tanesi yeni sürüm olan TLS’yi desteklemezse ortaya çıkıyor. İki nokta arasındaki trafik eski sürüm olan SSL 3.0 üzerinden şifreleniyor. Bu sayede kötü niyetli kişiler güvenlik açığı bulunan eski sürüm üzerinden iki nokta arasındaki bağlantıyı izleyebiliyorlar.

Nasıl önlem alabilirsiniz?

SSL 3.0 protokolünü devre dışı bırakan kullanıcılar bu güvenlik açığından korunarak internet trafiklerini gizli tutabiliyorlar. Web sitesi yöneticileri de aynı şekilde SSL 3.0 protokolünü devre dışı bırakarak kendi veri akışlarının izlenmesini engelleyebilirler.

Son kullanıcılar için çözümler:

  • Chorme web tarayıcısı kullananlar programı “–ssl-version-min=tls1” komutuyla birlikte çalıştırdıklarında yeni sürüm olan TLS protolünün dışında bir şifreleme protokolünün kullanılmasını engelleyebilirler.
  • Firefox kullanıcıları, arama çubuğuna “about:config” yazıp ayarlara girerek “security.tls.version.min” değerinin karşısına 1 yazdıklarında SSL 3.0 protokolünün kullanılmasını engelleyebilirler.
  • Internet Explorer kullanıcıları,  Security Advisory 3009008’daki basamakları izleyerek SSL 3.0 protokolünü durdurabilirler.

Kurumlar için çözümler:

Bazı web sitelerinin hala SSL 3.0 protokolü kullanmasından dolayı bu protkolü durdurmak bazı eski web sitelerine girişte sorunlar yaratabiliyor. Uzmanlarımız, web sitesi yöneticilerine yaptığı tavsiyede SSL 3.0 protokolünün kullanılmasına izin veren TLS_FALLBACK_SCSV mekanizmasının sadece gerekli olduğu durumlarda kullanılmasını öneriyor.

Bir cevap yazın

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.