Korta fakta om sårbarheten Poodle

Google har nyligen släppt information om en ny sårbarhet i SSL, vilket är en av de vanligaste teknikerna för kryptering på Internet. Sårbarheten finns i SSL version 3.0 och har fått namnet Poodle.

Redan ett dygn innan Googles offentliggörande skrev teknikmedia om att en mycket allvarlig sårbarhet inom kort skulle offentliggöras. Följden av detta var att vågorna gick höga på sociala medier under natten innan och vilda spekulationer och namnförslag avlöste varandra. Precis som de tidigare sårbarheterna Heartbleed och Shellshock så har också denna sårbarhet fått ett eget namn, Poodle. När Google sedan släppte detaljerad information så kom dock många farhågor på skam då sårbarheten visade sig vara mindre allvarlig än vad många förmodat.

Vad är Poodle?
Poodle är i grunden ett programvarufel i krypteringstekniken SSL (Secure Socket Layers). SSL används för att skydda datatrafik med kryptering, exempelvis när information som användarnamn och lösenord utväxlas mellan en användare och den webbplats denne besöker. I många webbläsare representeras en krypterad uppkoppling av ett hänglås bredvid webbadressen. Den sårbara versionen av SSL är version 3, detta är en äldre teknik som sedan länge ersatts av nyare versioner men ändock används denna teknik fortfarande på ett stort antal webbplatser såväl som i många webbläsare.

Hur fungerar Poodle?
För att en angripare skall kunna utnyttja sårbarheten i SSL så krävs det att denne har tillfälle att avlyssna samt påverka datatrafik från offret. Oftast drabbade av denna typ av avlyssning är användare av gratis WiFi-anslutningar på flygplatser eller hotell men en angripare kan i teorin sitta varsomhelst längst med den rutt som datatrafiken tar från offrets webbläsare till webbplatsen. Angriparen utnyttjar sedan Poodle-sårbarheten i syfte att utvinna läsbar information från den uppfångade datatrafiken trots att den är krypterad. Eftersom version 3 av SSL är föråldrad krävs vanligen också att angriparen lurar klientens webbläsare att använda den äldre krypteringsversionen istället för en modern, säkrare version.

Finns det något skydd?
Mängden okrypterad information som angriparen kan utvinna är i nuläget relativt liten och på grund av att sårbarheten kräver tillgång till offrets datatrafik så är Poodle-sårbarheten inte lika akut som Heartbleed när den upptäcktes. Detta kan dock förändras i takt med att illvilliga aktörer konstruerar nya sätt att använda sårbarheten till sin fördel. Här följer några enkla sätt att skydda sig:

• Systemadministratörer bör snarast se över möjligheterna att sluta stödja SSL v3 på sina webbplatser. Särskilt de webbplatser som endast stödjer SSL v3.
• De flesta webbläsare kan ställas in så de inte använder SSL utan i stället TLS, vilket är namnet på nyare versioner av SSL. Observera dock att detta kan omöjliggöra åtkomst till vissa webbplatser.
• Användare av Internet Explorer 6 bör snarast se över möjligheten att uppgradera till en senare version eller byta webbläsare då denna inte stödjer nyare versioner av SSL än 3.0.
• Webbläsarna Google Chrome och Mozilla Firefox arbetar bägge med uppdateringar av sina produkter. Användare av dessa kommer då att få en varning ifall en webbplats vill använda en äldre krypteringsteknik även då modernare alternativ stöds.