Hírek, aktualitások

Megszűnt a POODLE SSL sebezhetőség a Virtual Call Centernél


A Google október közepén jelentette be az SSL titkosítási protokoll 3-as verziójának sebezhetőségét. A Virtual Call Center november elején minden rendszerében megtette a szükséges óvintézkedéseket.

VCC - SSL titkosítási protokoll Bodo Möller, Krzysztof Kotowicz és Thai Duong, a Google biztonsági szakemeberei alig három hete adták a világ tudtára,  hogy a korábbi – de még mindig támogatott – SSL protokoll 3.0 verziója komoly sérülékenységet hordoz. A sérülékenység miatt a titkosított és látszólag biztonságban lévő információk hozzáférhetővé válnak a hálózati hozzáféréssel rendelkező támadók számára. A cég szakemberei azóta számos lépést tettek a probléma megoldása érdekében, sőt közölték, hogy az elkövetkező hónapokban meg kívánják szüntetni a verzió támogatását. „A POODLE (Padding Oracle On Downgraded Legacy Encryption) néven elhíresült sebezhetőség lehetőséget ad a támadónak, hogy man-in-the-middle támadást végrehajtva a protokoll ezen verziójával titkosított információkat olvasson ki titkosítatlan szövegként” – magyarázta a problémát Csiszár Tamás, a Virtual Call Center rendszermérnöke (OSCP).

A POODLE támadás azt a lehetőséget használja ki, hogy egy titkosított kapcsolat sikertelen felépülése esetén egy újra próbálkozásnál már a régebbi, sérülékeny verziót használva épül ki a kommunikáció. Ezt a megoldást a protokoll fejlesztői azért implementálták, hogy az olyan régi rendszerek is használhatóak maradjanak, amelyek nem támogatják az SSLv3-nál újabb verziókat.

„A Virtual Call Center infrastruktúrájában ez a sérülékenység nem jelentett nagy támadás felületet, mivel a szolgáltatás alapvetően saját kliensen keresztül érhető el, és az régóta a TLS protokollt részesíti előnyben. Ettől függetlenül a rendszerünket és az ügyfeleink adatait érintő biztonság érdekében gyorsan reagáltunk és megfelelő tesztelés után az egész infrastruktúrában megszüntettük az SSLv3 támogatását” – mondta el Csiszár Tamás, hozzátéve, hogy a Virtual Call Center munkatársai napi szinten kísérik figyelemmel a biztonsági frissítéseket. „Ha az RSS Feeden megjelenik egy csomagfrissítés, azt rögtön megvizsgáljuk. Ebben az esetben is azonnal elkezdtünk foglalkozni a problémával, hogy van-e olyan az ügyfeleink között, aki még ezt a verziót használja, és akkor mi lenne a teendő.”

A megfeszített munkát végül siker koronázta: mostanra megszűnt a POODLE SSL sebezhetőség lehetősége a Virtual Call Centernél.

2014/15 tanév Call Center Akadémia banner

Magyarország első számú call center fóruma