Pas på! Pudlen bider!

CVE-2014-3566 bedre kendt som POODLE (IT sikkerhedsfolk har også kommunikationsrådgivere) er et hul i en gammel version af SSL-protokollen som bruges når man handler online, går i netbanken, henter email via en sikker forbindelse osv. Når man f.eks. besøger en URL der starter med https:// er forbindelsen krypteret, men et nyopdaget sikkerhedshul i SSL version 3.0 gør at en tredjepart under visse omstændigheder kan få adgang til at læse med. Hvor farligt er dette sikkerhedshul egentlig?

SSLv3 er en gammel protokol som forlængst er afløst af nyere, sikrere alternativer. POODLE-problemet opstår fordi der foregår en forhandling mellem brugeren og serveren om hvilken protokol der skal bruges til at sikre forbindelsen inden data overføres. Hvis en tredjepart har mulighed for at placere sig imellem brugeren og serveren, kan vedkommende påvirke denne forhandling så brugerens mailklient eller browser og serveren bliver enige om at bruge SSLv3. Dernæst kan angriberen så gå i gang med at dekryptere indholdet af kommunikationen.

Hvordan kan en tredjepart sætte sig selv ind mellem brugeren og serveren? I nogle dele af verden kan det f.eks. være en efterretningstjeneste som installerer software i centrale internet-routere som kommunikationen skal passere. Men hvis vi ser bort fra PET, FET, NSA osv. er det mest oplagte sted en angriber kan få adgang til, de routere som bruges på offentligt tilgængelige WIFI-netværk i caféer, lufthavne, tog, mm.

Der er altid grund til at passe på når man forbinder sig til et offentligt trådløst netværk. WIFI-udstyr er ofte placeret steder der kan være svære at sikre ordentligt, og de er i sagens natur attraktive for hackere og andre blackhats fordi de ofte benyttes af rigtig mange mennesker. Indtil nu har det især været problem hvis man f.eks. loggede ind på en tjeneste på nettet eller hentede sin email via en ukrypteret forbindelse, men POODLE-sårbarheden betyder at der nu også er en risiko ved at bruge en "sikker" forbindelse hvis det foregår via et offentligt WIFI.

Det er ikke trivielt at sikre servere, browsere mm. mod POODLE da der skal laves software-rettelser rigtig mange steder før problemet er elimineret. Indtil da er der nogle ting man selv kan gøre for at sikre sig:

  1. Man kan helt undlade at bruge offentlige WIFI-hotspots.
  2. Man kan nøjes med at bruge offentlige WIFI-forbindelser til uskyldige ting som at læse nyheder, hente vejrudsigter mm
  3. Man kan bruge en tredjepartstjeneste til at kryptere forbindelser over offentlig WIFI

Den første løsning er klart den sikreste, men nok uacceptabel for mange. Mulighed (2) er også problematisk fordi det kan være meget svært at gennemskue hvad der egentlig overføres når man f.eks. kobler en smartphone på caféens WIFI. Den tredje mulighed er at benytte et VPN (virtuelt privat netværk),  som vi selv foretrækker at gøre når vi er ude i byen.

Vi arbejder fra mange forskellige steder - hjemme, hos kunder, på caféer, rundt omkring i udlandet - og vi er nødt til at sikre at f.eks. passwords som overføres i klar tekst ikke umiddelbart kan opsnappes af andre (f.eks. er loginoplysninger til CMS'er som Drupal og WordPress normalt ikke krypteret). Til det formål bruger vi Private Tunnel til at etablere en krypteret forbindelse mellem vores computere/smartphones til en server som drives af Private Tunnel. Denne server afkrypterer vores data (email, http osv) og sender dem videre til slutdestinationen. (Vi har tidligere skrevet om hvordan vi bruger Private Tunnel.)

Der findes andre tilsvarende tjenester - vi har valgt Private Tunnel fordi det er let at sætte op og benytte, både på computere og på Android og IOS smartphones. Det vigtigste er at al kommunikation pakkes ind i et ekstra lag af kryptering så andre ikke kan få adgang via en hacket WIFI-router - POODLE eller ej.

PS: Mange kender sikkert til lignende tjenester allerede, f.eks. fordi den virksomhed de arbejder for driver deres eget VPN eller fordi de på et tidspunkt har brugt en VPN-forbindelse til at omgå IP-baserede begrænsninger til at streame video, der egentlig kun er tilgængelig for brugere i f.eks. USA. Så længe disse tjenester krypterer kommunikationen kan de fint bruges i stedet for Private Tunnel hvis man vil sikre sig mod POODLE sårbarheden.