Oudere webtechnologieën worden vaak nog massaal ingezet, maar blijken niet altijd te voldoen aan de nodige veiligheidsstandaarden. Drie beveiligingsonderzoekers bij Google hebben aangetoond dat de SSL-encryptiestandaard omzeild kan worden via een kwetsbaarheid die de naam Poodle heeft meegekregen.
Poodle maakt het volgens de onderzoekers nagenoeg onmogelijk om het 15 jaar oude SSL 3.0-protocol veilig te gebruiken. Het lek zorgt ervoor dat een aanvaller met netwerktoegang de pakketten die met behulp van SSL werden versleuteld opnieuw kan ontcijferen. Volgens Errata Security zijn met name sessiecookies een interessant doelwit, die laten de hacker toe om als jou in te loggen op een website, zelfs al weet hij je wachtwoord niet. Om misbruik te voorkomen, moeten zowel websites als browsers worden geconfigureerd om SSL niet langer te gebruiken.
Dat klinkt als een relatief eenvoudige oplossing, maar het probleem is dat SSL 3.0, hoewel verouderd, toch nog altijd wordt ondersteund. Browsers en beveiligde HTTP-servers moeten er nog beroep op kunnen doen voor het geval ze op problemen stoten met het gebruik van TLS, de meer geavanceerde, en minder kwetsbare opvolger van SSL.
Het goede nieuws is dat het gebruik van SSL 3.0 sterk is gedaald. Uit een studie van de universiteit van Michigan blijkt dat minder dan 1 procent van het webverkeer gedeeltelijk of volledig afhankelijk is van SSL 3.0. Het grote probleem is echter dat nagenoeg alle websites en browsers de standaard wel nog altijd ondersteunen en een hacker je browser kan manipuleren om SSL te gebruiken.
De enige definitieve oplossing om Poodle de wereld uit te helpen is om de ondersteuning voor SSL volledig stop te zetten. Google en Mozilla hebben al laten weten dat ze de ondersteuning in hun browsers gaan stopzetten. Het uitschakelen van SSL 3.0 op webservers is moeilijker omdat veel internetgebruikers nog surfen via het meer dan tien jaar oude Internet Explorer 6, dat alleen SSL 3.0 ondersteunt. Als webservers de ondersteuning stopzetten, kunnen gebruikers van IE6 er niet langer mee verbinden.
Hoe kan ik mij beschermen?
Er zijn gelukkig nog een aantal dingen die je kan doen om het risico te beperken, zolang SSL 3.0 niet volledig de wereld is uitgeholpen. Misbruik van Poodle vereist een zogenaamde man-in-the-middle-aanval. Dat betekent dat de hacker toegang moet hebben tot het netwerk waarop je surft. Thuis ben je normaal gezien dus wel beschermd, op voorwaarde dat je wifi-netwerk beveiligd is. Vermijd publieke wifi-netwerken, daar geef je potentiële hackers vrij spel.
Om helemaal gerust te zijn, kan je zelf SSL 3.0 uitschakelen in je browser, zodat het lek niet kan worden misbruikt. Je hebt dan niet langer toegang tot websites die SSL nodig hebben, maar zoals hierboven reeds vermeld, gaat dat om een verwaarloosbaar aantal sites. Hoe je SSL precies moet uitschakelen, is verschillend voor alle browsers. Op deze pagina wordt voor elke browser stap voor stap uitgelegd hoe je te werk moet gaan. Je kan vervolgens via deze Poodle Test verifiëren of je beschermd bent. Ten slotte nog een tip voor gebruikers van Internet Explorer 6: stap over naar een moderner alternatief.
