Ranljivost v protokolu SSL 3.0 ogroža varnost vseh uporabnikov spleta!

Trije Googlovi inženirji Bodo Möller, Krzysztof Kotowicz in Thai Duong so nedavno objavili poročilo, ki razkriva še eno varnost luknjo v varnostnem protokolu SSL 3.0 in postavlja vse uporabnike svetovnega spleta v nezavidljiv položaj. Ranljivost v skoraj 18 let starem protokolu namreč omogoča prestrezanje in dešifriranje prometa med uporabnikom in strežnikom, pri čemer napadalec potrebuje zgolj nekaj minut. Čeprav mora biti napadalec v istem omrežju kot žrtev in mora žrtvin spletni brskalnik okužiti s škodljivo programsko kodo, je ranljivost v spletnem protokolu SSL 3.0 potrebno jemati z veliko mero resnosti, kar še posebej drži v primeru, da imamo opravka z občutljivim podatki, kot so na primer številke kreditnih kartic.

Varnostno luknjo v spletnem protokolu SSL 3.0 so Googlovi inženirji poimenovali POODLE (Padding Oracle On Downgraded Legacy Encryption), ranljivost pa lahko napadalci izkoristijo tako, da spletni brskalnik prisilijo k uporabi ranljivega protokola na način, da mu sporočijo, da ima žrtvin spletni brskalnik težave z »razumevanjem« novejših varnostnih protokolov TLS. Googlovi varnostni strokovnjaki so ob tem dodali, da njihov spletni brskalnik Chrome še vedno podpira SSL 3.0, vendar bodo podporo zanj v prihajajočih mesecih ukinili. Umaknitev podpore za ranljivi spletni protokol so pred kratkim naznanili tudi pri konkurenčnem podjetju Mozilla.