ግማሽ ጣቢያዎች , እና ቁጥራቸው በየጊዜው እየጨመረ ነው. ፕሮቶኮሉ የትራፊክ መጨናነቅ አደጋን ይቀንሳል, ነገር ግን እንደ ሙከራ ሙከራዎችን አያስወግድም. ስለ አንዳንዶቹ - POODLE, BEAST, DOWN እና ሌሎች - እና የጥበቃ ዘዴዎች በእኛ ቁሳቁስ ውስጥ እንነጋገራለን.
/ፍሊከር/ / CC BY-SA
ነጥብ
ስለ ጥቃቱ ለመጀመሪያ ጊዜ እ.ኤ.አ. በ 2014 ይታወቃል ። በኤስኤስኤል 3.0 ፕሮቶኮል ውስጥ ተጋላጭነት በመረጃ ደህንነት ባለሙያ ቦዶ ሞለር እና በGoogle ባልደረቦች ተገኝቷል።
ዋናው ነገር የሚከተለው ነው፡ ጠላፊው የግንኙነት ክፍተቶችን በመምሰል ደንበኛው በSSL 3.0 እንዲገናኝ ያስገድደዋል። ከዚያም ኢንክሪፕት የተደረገው ውስጥ ይፈለጋል -የትራፊክ ሁነታ ልዩ መለያ መልዕክቶች. ተከታታይ የተጭበረበሩ ጥያቄዎችን በመጠቀም አጥቂ እንደ ኩኪዎች ያሉ የፍላጎት ውሂብ ይዘቶችን እንደገና መገንባት ይችላል።
SSL 3.0 ጊዜው ያለፈበት ፕሮቶኮል ነው። ነገር ግን የእሱ ደህንነት ጥያቄ አሁንም ጠቃሚ ነው. ደንበኞች ከአገልጋዮች ጋር የተኳሃኝነት ችግሮችን ለማስወገድ ይጠቀሙበታል። አንዳንድ መረጃዎች እንደሚያሳዩት ከ7ሺህ በጣም ታዋቂ ጣቢያዎች 100% ማለት ይቻላል። . ደግሞ በጣም ዘመናዊውን TLS 1.0 እና TLS 1.1 ላይ ያነጣጠሩ በ POODLE ላይ የተደረጉ ማሻሻያዎች። የህ አመት አዲስ የዞምቢ POODLE እና GOLDENDOODLE ጥቃቶች TLS 1.2 ጥበቃን (አሁንም ከሲቢሲ ምስጠራ ጋር የተቆራኙ ናቸው)።
እራስዎን እንዴት እንደሚከላከሉ. በዋናው POODLE ሁኔታ፣ SSL 3.0 ድጋፍን ማሰናከል አለብዎት። ነገር ግን, በዚህ ሁኔታ ውስጥ የተኳሃኝነት ችግሮች ስጋት አለ. አማራጭ መፍትሔ የTLS_FALLBACK_SCSV ዘዴ ሊሆን ይችላል - በSSL 3.0 የውሂብ ልውውጥ የሚከናወነው በአሮጌ ስርዓቶች ብቻ መሆኑን ያረጋግጣል። አጥቂዎች ከአሁን በኋላ የፕሮቶኮል ማሻሻያዎችን መጀመር አይችሉም። ከዞምቢ POODLE እና GOLDENDOODLE የሚከላከሉበት መንገድ የCBC ድጋፍን በTLS 1.2 ላይ በተመሰረቱ መተግበሪያዎች ማሰናከል ነው። ካርዲናል መፍትሄ ወደ TLS 1.3 ሽግግር ይሆናል - አዲሱ የፕሮቶኮሉ ስሪት የ CBC ምስጠራን አይጠቀምም. በምትኩ፣ የበለጠ ዘላቂ AES እና ChaCha20 ጥቅም ላይ ይውላሉ።
ባሻገር
በSSL እና TLS 1.0 ላይ ከመጀመሪያዎቹ ጥቃቶች አንዱ፣ በ2011 የተገኘ። እንደ POODLE፣ BEAST የ CBC ምስጠራ ባህሪያት. አጥቂዎች በTLS ወይም SSL ላይ መረጃ ሲያስተላልፉ መልዕክቶችን የሚተካ ጃቫስክሪፕት ወኪል ወይም ጃቫ አፕሌት በደንበኛ ማሽን ላይ ይጭናሉ። አጥቂዎች የ"dummy" እሽጎችን ይዘት ስለሚያውቁ የመነሻ ቬክተርን ዲክሪፕት ለማድረግ እና እንደ ማረጋገጫ ኩኪዎች ያሉ ሌሎች መልዕክቶችን ወደ አገልጋዩ ለማንበብ ሊጠቀሙባቸው ይችላሉ።
ከዛሬ ጀምሮ፣ BEAST ተጋላጭነቶች ይቀራሉ የአካባቢ የበይነመረብ መግቢያ መንገዶችን ለመጠበቅ ተኪ አገልጋዮች እና መተግበሪያዎች።
እራስዎን እንዴት እንደሚከላከሉ. አጥቂው ውሂቡን ለመፍታት መደበኛ ጥያቄዎችን መላክ አለበት። በ VMware ውስጥ የSSLSessionCacheTimeout ቆይታ ከአምስት ደቂቃ (ነባሪ ምክር) ወደ 30 ሰከንድ ይቀንሱ። ይህ አካሄድ ለአጥቂዎች እቅዳቸውን ተግባራዊ ለማድረግ አስቸጋሪ ያደርገዋል, ምንም እንኳን በአፈፃፀም ላይ አንዳንድ አሉታዊ ተፅእኖዎች አሉት. በተጨማሪም ፣ የ BEAST ተጋላጭነት በቅርቡ በራሱ ያለፈ ነገር ሊሆን እንደሚችል መረዳት ያስፈልግዎታል - ከ 2020 ጀምሮ ፣ ትልቁ አሳሾች ለ TLS 1.0 እና 1.1 ድጋፍ. በማንኛውም ሁኔታ ከ 1,5% ያነሱ የአሳሽ ተጠቃሚዎች ከእነዚህ ፕሮቶኮሎች ጋር ይሰራሉ.
ሰምጦ
ይህ SSLv2ን ከ40-ቢት RSA ቁልፎች ጋር በመተግበር ላይ ያሉ ስህተቶችን የሚጠቀም የፕሮቶኮል ጥቃት ነው። አጥቂው የታለመውን በመቶዎች የሚቆጠሩ የTLS ግንኙነቶችን ያዳምጣል እና ልዩ ፓኬቶችን ወደ SSLv2 አገልጋይ ይልካል። በመጠቀም , ጠላፊ ከሺህ ከሚሆኑ የደንበኛ TLS ክፍለ ጊዜዎች ውስጥ አንዱን ዲክሪፕት ማድረግ ይችላል።
DROWN ለመጀመሪያ ጊዜ በ 2016 ታወቀ - ከዚያ በኋላ ሆነ በዚህ አለም. ዛሬ ጠቀሜታውን አላጣም። ከ 150 ሺህ በጣም ታዋቂ ጣቢያዎች, 2% አሁንም ናቸው SSLv2 እና ተጋላጭ የሆኑ የምስጠራ ዘዴዎች።
እራስዎን እንዴት እንደሚከላከሉ. የ SSLv2 ድጋፍን የሚያሰናክሉ የምስጠራ ቤተ-መጽሐፍት አዘጋጆች ያቀረቡትን ፕላስተሮችን መጫን አስፈላጊ ነው። ለምሳሌ፣ ሁለት እንደዚህ ያሉ ጥገናዎች ለOpenSSL ቀርበዋል (በ2016 1.0.1s እና 1.0.2g)። እንዲሁም፣ የተጋላጭ ፕሮቶኮሉን ለማሰናከል ዝማኔዎች እና መመሪያዎች ታትመዋል , , .
የልማት ዲፓርትመንቱ ኃላፊ “ሀብቱ ቁልፎቹን SSLv2 ባለው የሶስተኛ ወገን አገልጋይ ለምሳሌ እንደ መልእክት አገልጋይ ከተጠቀሙ ለ DROWN ተጋላጭ ሊሆን ይችላል” ብለዋል ። ሰርጌይ ቤልኪን. - ይህ ሁኔታ የሚከሰተው ብዙ አገልጋዮች የጋራ SSL ሰርተፍኬት የሚጠቀሙ ከሆነ ነው። በዚህ አጋጣሚ በሁሉም ማሽኖች ላይ የSSLv2 ድጋፍን ማሰናከል አለቦት።
ልዩ በመጠቀም ስርዓትዎ መዘመን እንዳለበት ማረጋገጥ ይችላሉ። - DROWN ባገኙት የመረጃ ደህንነት ስፔሻሊስቶች የተሰራ ነው። ከእንደዚህ አይነት ጥቃት ጥበቃ ጋር በተያያዙ ምክሮች ላይ የበለጠ ማንበብ ይችላሉ። .
ልብ ወለድ
በሶፍትዌር ውስጥ ካሉት ትልቁ ተጋላጭነቶች አንዱ ነው። . በ 2014 በ OpenSSL ቤተ-መጽሐፍት ውስጥ ተገኝቷል. የሳንካ ማስታወቂያ በተሰጠበት ወቅት፣ ተጋላጭ የሆኑ የድር ጣቢያዎች ብዛት - ይህ በአውታረ መረቡ ላይ በግምት 17% የተጠበቁ ሀብቶች ነው።
ጥቃቱ የሚተገበረው በትናንሽ Heartbeat TLS ቅጥያ ሞጁል ነው። የTLS ፕሮቶኮል ውሂብ ያለማቋረጥ እንዲተላለፍ ይፈልጋል። ረዘም ላለ ጊዜ የእረፍት ጊዜ ካለ, መቋረጥ ይከሰታል እና ግንኙነቱ እንደገና መመስረት አለበት. ችግሩን ለመቋቋም አገልጋዮች እና ደንበኞች በሰው ሰራሽ መንገድ ሰርጡን "ይጮኻሉ" (), የዘፈቀደ ርዝመት ያለው ፓኬት ማስተላለፍ. ከጠቅላላው ፓኬት የሚበልጥ ከሆነ፣ ተጋላጭ የሆኑ የOpenSSL ስሪቶች ከተመደበው ቋት በላይ ማህደረ ትውስታን ያነባሉ። ይህ አካባቢ የግል ምስጠራ ቁልፎችን እና ስለሌሎች ግንኙነቶች መረጃን ጨምሮ ማንኛውንም ውሂብ ሊይዝ ይችላል።
ተጋላጭነቱ በሁሉም የቤተ መፃህፍት ስሪቶች በ1.0.1 እና 1.0.1f መካከል እንዲሁም በተለያዩ ስርዓተ ክወናዎች - ኡቡንቱ እስከ 12.04.4፣ ከ6.5 በላይ የቆየ CentOS፣ OpenBSD 5.3 እና ሌሎችም ነበር። ሙሉ ዝርዝር አለ . ምንም እንኳን ይህንን ተጋላጭነት የሚቃወሙ ጥገናዎች ከተገኘ በኋላ ወዲያውኑ የተለቀቁ ቢሆንም ፣ ችግሩ እስከ ዛሬ ድረስ ጠቃሚ ነው። በ2017 ተመለስ , ለልብ ደም የተጋለጠ.
እራስዎን እንዴት እንደሚከላከሉ. አስፈላጊ ነው እስከ ስሪት 1.0.1g ወይም ከዚያ በላይ። የDOPENSL_NO_HEARTBEATS ምርጫን በመጠቀም የልብ ምት ጥያቄዎችን እራስዎ ማሰናከል ይችላሉ። ከዝማኔው በኋላ፣ የመረጃ ደህንነት ባለሙያዎች የኤስኤስኤል የምስክር ወረቀቶችን እንደገና ማውጣት። በምስጠራ ቁልፎች ላይ ያለው መረጃ በጠላፊዎች እጅ ውስጥ ካለቀ ምትክ ያስፈልጋል።
የምስክር ወረቀት መተካት
ህጋዊ የሆነ SSL ሰርተፍኬት ያለው የሚተዳደረው መስቀለኛ መንገድ በተጠቃሚው እና በአገልጋዩ መካከል ተጭኗል፣ ትራፊክን በንቃት ይቋረጣል። ይህ መስቀለኛ መንገድ ትክክለኛ ሰርተፊኬት በማቅረብ ህጋዊ አገልጋይን ያስመስላል፣ እና የ MITM ጥቃትን ለመፈጸም ይቻል ይሆናል።
እንደ ከሞዚላ፣ ከጎግል እና ከበርካታ ዩኒቨርሲቲዎች የተውጣጡ ቡድኖች በግምት 11% የሚሆኑት በአውታረ መረቡ ላይ ያሉ ደህንነታቸው የተጠበቀ ግንኙነቶች ተሰምተዋል። ይህ በተጠቃሚዎች ኮምፒውተሮች ላይ አጠራጣሪ ስርወ ሰርተፍኬቶችን የመጫን ውጤት ነው።
እራስዎን እንዴት እንደሚከላከሉ. አስተማማኝ አገልግሎቶችን ይጠቀሙ . አገልግሎቱን በመጠቀም የምስክር ወረቀቶችን "ጥራት" ማረጋገጥ ይችላሉ (ሲቲ) የክላውድ አገልግሎት ሰጭዎች ሰሚ ማዳመጥን በመለየት ሊረዱ ይችላሉ፤ አንዳንድ ትልልቅ ኩባንያዎች የTLS ግንኙነቶችን ለመከታተል ልዩ መሳሪያዎችን አስቀድመው አቅርበዋል።
ሌላው የመከላከያ ዘዴ አዲስ ይሆናል የኤስኤስኤል የምስክር ወረቀቶችን መቀበልን በራስ ሰር የሚያሰራ ACME። በተመሳሳይ ጊዜ, የጣቢያው ባለቤትን ለማረጋገጥ ተጨማሪ ዘዴዎችን ይጨምራል. ስለ እሱ የበለጠ .
/ፍሊከር/ / CC BY
የኤችቲቲፒኤስ ተስፋዎች
በርካታ ተጋላጭነቶች ቢኖሩም፣ የአይቲ ግዙፍ ኩባንያዎች እና የመረጃ ደህንነት ባለሙያዎች ስለ ፕሮቶኮሉ የወደፊት እርግጠኞች ናቸው። ለ HTTPS ንቁ ትግበራ WWW ፈጣሪ ቲም በርነርስ-ሊ። በእሱ መሠረት, ከጊዜ በኋላ TLS የበለጠ አስተማማኝ ይሆናል, ይህም የግንኙነት ደህንነትን በእጅጉ ያሻሽላል. በርነርስ-ሊም ይህን ሐሳብ አቅርቧል የማንነት ማረጋገጫ የደንበኛ የምስክር ወረቀቶች. የአገልጋይ ጥበቃን ከአጥቂዎች ለማሻሻል ይረዳሉ።
እንዲሁም የማሽን መማሪያን በመጠቀም የSSL/TLS ቴክኖሎጂን ለማዳበር ታቅዷል - ብልጥ ስልተ ቀመሮች ጎጂ ትራፊክን የማጣራት ሃላፊነት አለባቸው። በኤችቲቲፒኤስ ግንኙነቶች፣ አስተዳዳሪዎች የማልዌር ጥያቄዎችን ፈልጎ ማግኘትን ጨምሮ የተመሰጠሩ መልዕክቶችን ይዘት ለማወቅ ምንም መንገድ የላቸውም። ቀድሞውኑ ዛሬ, የነርቭ ኔትወርኮች አደገኛ ሊሆኑ የሚችሉ እሽጎችን በ 90% ትክክለኛነት የማጣራት ችሎታ አላቸው. ().
ግኝቶች
በኤችቲቲፒኤስ ላይ የሚደረጉ አብዛኛዎቹ ጥቃቶች ከፕሮቶኮሉ ጋር ከተያያዙ ችግሮች ጋር የተገናኙ አይደሉም፣ ነገር ግን ጊዜ ያለፈባቸው የኢንክሪፕሽን ዘዴዎችን ለመደገፍ ነው። የአይቲ ኢንዱስትሪው የቀደመውን ትውልድ ፕሮቶኮሎች ቀስ በቀስ በመተው እና ተጋላጭነትን ለመፈለግ አዳዲስ መሳሪያዎችን ማቅረብ ጀምሯል። ለወደፊቱ, እነዚህ መሳሪያዎች የበለጠ ብልህ ይሆናሉ.
በርዕሱ ላይ ተጨማሪ አገናኞች፡-
ምንጭ: hab.com