Was ist die POODLE-Sicherheitslücke und wie können Sie sich schützen?

Es ist schwer, sich über all diese Internet-Katastrophen, wie sie sich ereignen, Gedanken zu machen, und genauso wie wir dachten, das Internet sei wieder sicher, nachdem Heartbleed und Shellshock drohten, „das Leben, wie wir es kennen“, zu beenden, erscheint POODLE.

Lassen Sie sich nicht zu sehr aufregen, denn es ist nicht so bedrohlich, wie es klingt. Die Wahrheit ist, dass es ein Problem ist, mit dem man sich beschäftigen muss, aber es gibt einfache Schritte, die Sie unternehmen können, um sich zu schützen.

Was ist POODLE?

Beginnen wir im Erdgeschoss. Was ist POODLE? Zunächst einmal steht es für «.» Das Sicherheitsproblem ist genau das, was der Name vermuten lässt, ein Protokoll-Downgrade, das Exploits auf einer veralteten Form der Verschlüsselung ermöglicht. Das Problem wurde diesen Monat weltweit bekannt, als Google ein Papier mit dem Titel „This POODLE Bites: Exploiting The SSL 3.0 Fallback“ veröffentlichte.

Um dies einfacher zu erklären: Wenn ein Angreifer mit einem Man-In-The-Middle-Angriff die Kontrolle über einen Router an einem öffentlichen Hotspot übernehmen kann, kann er Ihren Browser zwingen, auf SSL 3.0 (ein älteres Protokoll) herunterzustufen, anstatt das viel moderneren TLS (Transport Layer Security) und nutzen dann eine Sicherheitslücke in SSL aus, um Ihre Browsersitzungen zu kapern. Da dieses Problem im Protokoll liegt, ist alles betroffen, was SSL verwendet.

Solange sowohl der Server als auch der Client (Webbrowser) SSL 3.0 unterstützen, kann der Angreifer eine Herabstufung des Protokolls erzwingen. Selbst wenn Ihr Browser versucht, TLS zu verwenden, wird er gezwungen, stattdessen SSL zu verwenden. Die einzige Antwort ist, dass eine Seite oder beide Seiten die Unterstützung für SSL entfernen, wodurch die Möglichkeit eines Downgrades beseitigt wird.

Wenn Sie hauptsächlich von zu Hause aus surfen und keine öffentlichen Hotspots verwenden, ist das Schadenspotenzial ziemlich gering und Sie können einfach die einfachen Schritte unternehmen, die später im Artikel beschrieben werden, um sich zu schützen. Wenn Sie häufig einen öffentlichen Hotspot verwenden, ist es möglicherweise an der Zeit, über die Verwendung eines VPN nachzudenken.

Wie können wir das Problem lösen?

Da es keine Möglichkeit gibt, die Probleme mit SSL zu lösen, besteht die einzige Lösung für Browserhersteller und Webserver darin, alles zu aktualisieren, um die Unterstützung für SSL zu entfernen und nur die TLS-Verschlüsselung zu erfordern.

Google und Firefox haben bereits angekündigt, die Unterstützung in Zukunft einzustellen, und obwohl wir (noch) nicht dasselbe von Microsoft gehört haben, ist es als Endbenutzer extrem einfach, SSL 3.0 im IE zu deaktivieren. Die meisten großen Webunternehmen entfernen die Unterstützung für SSL, nachdem dieses Problem bekannt wurde, aber es wird eine Weile dauern, bis alle dies tun.

Als Verbraucher können Sie die Unterstützung für SSL von Ihrem Browser mit einer der unten beschriebenen Methoden entfernen – oder wenn Sie Firefox oder Google Chrome verwenden und nicht ständig Hotspots verwenden, können Sie warten, bis der Browser aktualisiert wird. Oder Sie können sicherstellen, dass Sie das Problem selbst behoben haben.

SSL 3.0 in Mozilla Firefox deaktivieren

Wenn Sie ein Mozilla Firefox-Benutzer sind, werden Ihre Bedenken bezüglich SSL 3.0 am 25. November 2014 bei der Veröffentlichung von Fireox 34 ausgeräumt. Das einzige Problem dabei ist, dass es noch nicht November ist und Sie jetzt Maßnahmen ergreifen müssen, um sich zu schützen. Öffnen Sie zunächst Ihren Firefox-Browser und navigieren Sie zum SSL-Versionskontrolle Download-Seite in Firefox.

Nach erfolgreicher Installation können Sie in der Navigationsleiste „about:addons“ eingeben und die Erweiterung „SSL Version Control“ auswählen. Sie können auf „Optionen“ klicken, um die Einstellungen für die Erweiterung anzuzeigen. Stellen Sie sicher, dass die „Automatischen Updates“ aktiviert sind und dass die „Minimum SSL Version“ auf „TLS 1.0“ eingestellt ist.

Nach der Veröffentlichung von Firefox 34 können Sie die Erweiterung jederzeit deaktivieren oder deinstallieren.

SSL 3.0 in Google Chrome deaktivieren

Wenn Sie ein Google Chrome-Benutzer sind, können Sie sicher sein, dass SSL 3.0 in den kommenden Monaten deaktiviert wird, obwohl sie noch kein Datum festgelegt haben. Wenn Sie sich jetzt schützen möchten, ist dies in wenigen einfachen Schritten möglich. Gehen Sie einfach zu Ihrem Google Chrome-Desktopsymbol, klicken Sie mit der rechten Maustaste darauf und wählen Sie dann unten im Popup-Menü «Eigenschaften».

Im Fenster „Eigenschaften“ sehen Sie ein Texteingabefeld mit der Aufschrift „Ziel“. Klicken Sie einfach in dieses Feld und drücken Sie die Schaltfläche „Ende“ auf Ihrer Tastatur. Drücken Sie anschließend die „Leertaste“ und kopieren Sie diesen Text und fügen Sie ihn am Ende ein.

--ssl-version-min=tls1

Klicken Sie auf «Übernehmen», klicken Sie im Popup-Fenster auf «Weiter» und dann auf «OK».

Jetzt lehnt Ihr Browser automatisch SSL 3.0-Zertifikate ab und akzeptiert nur TLS 1.0 und höher. Beachten Sie, dass dieses Flag nicht verwendet wird, wenn Sie Chrome über eine andere Verknüpfung auf Ihrem Computer starten.

Deaktivieren von SSL 3.0 im Internet Explorer

Microsoft hat noch nicht bekannt gegeben, wann das SSL 3.0-Problem behoben werden soll, daher ist es am besten, es selbst zu deaktivieren, indem Sie Ihr «Start» -Menü öffnen und «Internetoptionen» eingeben.

Gehen Sie zur Registerkarte «Erweitert» und scrollen Sie nach unten zum Abschnitt «Sicherheit», bis Sie die SSL- und TLS-Optionen sehen, und deaktivieren Sie dann die Option für SSL 3.0 verwenden und aktivieren Sie stattdessen TLS.

Auf diese Weise können Sie sicher sein, dass Ihre Internetbrowser alle vor möglichen POODLE-Angriffen geschützt sind.

Bildnachweis: Karen auf Flickr