Google’s POODLE affects oodles

SSL v3

Nova vulnerabilidade muito importante foi encontrada, dessa vez pela equipe do Google, o protocolo com problemas é o SSL v3.0.

O artigo original é este:
http://googleonlinesecurity.blogspot.com.au/2014/10/this-poodle-bites-exploiting-ssl-30.html

Segundo estudo do site NETCRAFT 97% dos servidores WEB hoje estão vulneráveis:
http://news.netcraft.com/archives/2014/10/15/googles-poodle-affects-oodles.html

“Se um dos lados só suporta SSL 3.0, em seguida, toda a esperança se foi, e um atualização necessária para evitar a criptografia insegura”, escrevem eles em O POODLE Mordida: explorando o SSL 3.0 Fallback [PDF] .

A comunidade Openssl divulgou este artigo sobre a vulnerabilidade:

Click to access ssl-poodle.pdf

Ao negociar a criptografia usada na sessão entre o navegador web e o servidor web, no momento inicial o servidor tenta a solicitação com a criptografia mais alta disponibilizada em sua configuração, no entanto caso o navegador não suporte a criptografia usada no navegador do usuário, pode existir várias outras tentativas, até mesmo por falhas na comunicação de rede, até o momento em que o navegador e o servidor web negociem a versão mais adequada para realizar a transferência dos dados, porém um atacante ativo que possui controle dessa negociação pode fazer o servidor iniciar a comunicação usando o protocolo SSL v3, onde todos os navegadores dão suporte.

Desabilitar SSLv3 no Apache

The SSL configuration file changed slightly in httpd version 2.2.23. For httpd version 2.2.23 and newer, specify TLSv1, TLSv1.1, and TLSv1.2.
SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2
For httpd version 2.2.22 and older, only specify TLSv1. This is treated as a wildcard for all TLS versions.
SSLProtocol TLSv1            

Solução oficial da redhat:

https://access.redhat.com/solutions/1232413

Bloqueio Facebook usando usando proxy transparente com iptables

Usar um proxy como o Squid pode complicar na hora de bloquear o sites como o facebook.com, sendo assim poderemos usar o Iptables como recurso a mais pra bloquear esta rede social.

Acontece o seguinte: quando você acessa o Facebook é muito comum o site direcionar o tráfego para usar o protocolo HTTPS, HTTPS não é um protocolo separado, mas se refere ao uso do HTTP sobre uma camada encriptada de conexão SSL/TLS, para ser mais seguro para o usuário final, no entanto isso dificulta o uso do proxy já que o pacote quando usa o HTTPS ele já sai da maquina do usuário encriptado, não podendo mais ser verificado durante seu trajeto até o servidor de destino, poderia sim ser comparado a uma VPN entre o browser do usuário e o servidor de destino, que neste post se refere ao site do amigo Mark Zuckerberg, Facebook.

Basicamente através de uma pesquisa na internet encontrei muitos endereços que fazem referência a rede social em questão, e vamos bloquear o acesso a estes endereços de fato usando Iptables do Linux.

#!/bin/bash

iptables -I FORWARD -d 74.119.76.0/22 -j DROP
iptables -I FORWARD -d 69.63.184.0/21 -j DROP
iptables -I FORWARD -d 69.63.176.0/24 -j DROP
iptables -I FORWARD -d 69.63.176.0/21 -j DROP
iptables -I FORWARD -d 69.171.255.0/24 -j DROP
iptables -I FORWARD -d 69.171.240.0/20 -j DROP
iptables -I FORWARD -d 69.171.239.0/24 -j DROP
iptables -I FORWARD -d 69.171.224.0/20 -j DROP
iptables -I FORWARD -d 66.220.159.0/24 -j DROP
iptables -I FORWARD -d 66.220.152.0/21 -j DROP
iptables -I FORWARD -d 66.220.144.0/21 -j DROP
iptables -I FORWARD -d 31.13.77.0/24 -j DROP
iptables -I FORWARD -d 31.13.76.0/24 -j DROP
iptables -I FORWARD -d 31.13.75.0/24 -j DROP
iptables -I FORWARD -d 31.13.73.0/24 -j DROP
iptables -I FORWARD -d 31.13.72.0/24 -j DROP
iptables -I FORWARD -d 31.13.69.0/24 -j DROP
iptables -I FORWARD -d 31.13.64.0/19 -j DROP
iptables -I FORWARD -d 31.13.24.0/21 -j DROP
iptables -I FORWARD -d 2a03:2880::/32 -j DROP
iptables -I FORWARD -d 2620:0000:1c00::/40 -j DROP
iptables -I FORWARD -d 204.15.20.0/22 -j DROP
iptables -I FORWARD -d 173.252.96.0/19 -j DROP
iptables -I FORWARD -d 173.252.70.0/24 -j DROP
iptables -I FORWARD -d 173.252.64.0/19 -j DROP