Puolet sivustoista , ja niiden määrä kasvaa tasaisesti. Protokolla vähentää liikenteen sieppauksen riskiä, mutta ei poista hyökkäysyrityksiä sellaisenaan. Kerromme materiaalissamme joistakin niistä - POODLE, BEAST, DROWN ja muut - ja suojausmenetelmistä.
/flickr/ / CC BY-SA
villakoira
Ensimmäistä kertaa hyökkäyksestä tuli tunnetuksi vuonna 2014. Tietoturva-asiantuntija Bodo Möller ja kollegat Googlesta löysivät SSL 3.0 -protokollan haavoittuvuuden.
Sen olemus on seuraava: hakkeri pakottaa asiakkaan muodostamaan yhteyden SSL 3.0:n kautta emuloiden yhteyskatkoja. Sitten se etsii salatusta -liikennetilan erityiset tunnisteviestit. Väärennettyjen pyyntöjen sarjan avulla hyökkääjä pystyy rekonstruoimaan kiinnostavien tietojen, kuten evästeiden, sisällön.
SSL 3.0 on vanhentunut protokolla. Mutta kysymys hänen turvallisuudestaan on edelleen ajankohtainen. Asiakkaat käyttävät sitä välttääkseen yhteensopivuusongelmia palvelimien kanssa. Joidenkin tietojen mukaan lähes 7% 100 tuhannesta suosituimmasta sivustosta . myös POODLEn muutokset, jotka kohdistuvat nykyaikaisempaan TLS 1.0:aan ja TLS 1.1:een. Tämä vuosi uudet Zombie POODLE- ja GOLDENDOODLE-hyökkäykset, jotka ohittavat TLS 1.2 -suojauksen (ne liittyvät edelleen CBC-salaukseen).
Kuinka suojella itseäsi. Jos kyseessä on alkuperäinen POODLE, sinun on poistettava SSL 3.0 -tuki käytöstä. Tässä tapauksessa on kuitenkin olemassa yhteensopivuusongelmien riski. Vaihtoehtoinen ratkaisu voisi olla TLS_FALLBACK_SCSV-mekanismi - se varmistaa, että tiedonvaihto SSL 3.0:n kautta tapahtuu vain vanhemmissa järjestelmissä. Hyökkääjät eivät voi enää aloittaa protokollan alentamista. Tapa suojautua Zombie POODLElta ja GOLDENDOODLElta on poistaa CBC-tuki käytöstä TLS 1.2 -pohjaisissa sovelluksissa. Pääratkaisuna on siirtyminen TLS 1.3:een – protokollan uusi versio ei käytä CBC-salausta. Sen sijaan käytetään kestävämpiä AES ja ChaCha20.
BEAST
Yksi ensimmäisistä hyökkäyksistä SSL:ää ja TLS 1.0:aa vastaan, löydetty vuonna 2011. Kuten PUUTLA, PETTO CBC-salauksen ominaisuudet. Hyökkääjät asentavat asiakaskoneeseen JavaScript-agentin tai Java-sovelman, joka korvaa viestit siirrettäessä tietoja TLS:n tai SSL:n kautta. Koska hyökkääjät tietävät "dummy"-pakettien sisällön, he voivat purkaa alustusvektorin salauksen ja lukea muita viestejä palvelimelle, kuten todennusevästeitä.
BEAST-haavoittuvuudet ovat edelleen olemassa : Välityspalvelimet ja sovellukset paikallisten Internet-yhdyskäytävien suojaamiseen.
Kuinka suojella itseäsi. Hyökkääjän on lähetettävä säännöllisiä pyyntöjä tietojen salauksen purkamiseksi. VMwaressa lyhennä SSLSessionCacheTimeout-aikaa viidestä minuutista (oletussuositus) 30 sekuntiin. Tämä lähestymistapa vaikeuttaa hyökkääjien suunnitelmien toteuttamista, vaikka sillä on jonkin verran negatiivista vaikutusta suorituskykyyn. Lisäksi sinun on ymmärrettävä, että BEAST-haavoittuvuudesta voi pian tulla menneisyyttä yksinään - vuodesta 2020 lähtien suurimmat selaimet tuki TLS 1.0:lle ja 1.1:lle. Joka tapauksessa alle 1,5 % kaikista selaimen käyttäjistä käyttää näitä protokollia.
HUKKUA
Tämä on protokollien välinen hyökkäys, joka hyödyntää vikoja SSLv2:n toteutuksessa 40-bittisillä RSA-avaimilla. Hyökkääjä kuuntelee satoja kohteen TLS-yhteyksiä ja lähettää erikoispaketteja SSLv2-palvelimelle käyttäen samaa yksityistä avainta. Käyttämällä , hakkeri voi purkaa yhden noin tuhannesta asiakkaan TLS-istunnosta.
DROWN tuli tunnetuksi ensimmäisen kerran vuonna 2016 - sitten se osoittautui maailmassa. Nykyään se ei ole menettänyt merkitystään. 150 tuhannesta suosituimmasta sivustosta 2 % on edelleen SSLv2 ja haavoittuvat salausmekanismit.
Kuinka suojella itseäsi. On tarpeen asentaa salauskirjastojen kehittäjien ehdottamat korjaustiedostot, jotka estävät SSLv2-tuen. Esimerkiksi OpenSSL:lle esiteltiin kaksi tällaista korjaustiedostoa (vuonna 2016 1.0.1 s ja 1.0.2 g). Lisäksi julkaistiin päivitykset ja ohjeet haavoittuvan protokollan poistamiseksi käytöstä , , .
"Resurssi voi olla alttiina DROWN:lle, jos sen avaimia käyttää kolmannen osapuolen SSLv2-palvelin, kuten sähköpostipalvelin", toteaa kehitysosaston johtaja. Sergei Belkin. — Tämä tilanne ilmenee, jos useat palvelimet käyttävät yhteistä SSL-varmennetta. Tässä tapauksessa sinun on poistettava SSLv2-tuki käytöstä kaikissa koneissa."
Voit tarkistaa, tarvitseeko järjestelmäsi päivittää käyttämällä erityistä - sen ovat kehittäneet tietoturvaasiantuntijat, jotka löysivät DROWNin. Voit lukea lisää tämäntyyppisiä hyökkäyksiä vastaan suojaamiseen liittyvistä suosituksista .
heartbleed-haavoittuvuus
Yksi ohjelmistojen suurimmista haavoittuvuuksista on . Se löydettiin vuonna 2014 OpenSSL-kirjastosta. Virheilmoituksen ajankohtana haavoittuvien verkkosivustojen määrä - Tämä on noin 17 % verkon suojatuista resursseista.
Hyökkäys toteutetaan pienen Heartbeat TLS -laajennusmoduulin kautta. TLS-protokolla edellyttää, että dataa siirretään jatkuvasti. Pitkittyessä seisokissa tapahtuu katkos ja yhteys on muodostettava uudelleen. Ongelman ratkaisemiseksi palvelimet ja asiakkaat "kohinaavat" kanavaa keinotekoisesti (), lähettää satunnaisen pituisen paketin. Jos se oli suurempi kuin koko paketti, OpenSSL:n haavoittuvat versiot lukevat muistia varatun puskurin yli. Tämä alue voi sisältää mitä tahansa tietoa, mukaan lukien yksityiset salausavaimet ja tiedot muista yhteyksistä.
Haavoittuvuus oli kaikissa kirjaston versioissa 1.0.1-1.0.1f mukaan lukien, sekä useissa käyttöjärjestelmissä - Ubuntu 12.04.4 asti, CentOS vanhempi kuin 6.5, OpenBSD 5.3 ja muut. Siellä on täydellinen luettelo . Vaikka tämän haavoittuvuuden korjaustiedostot julkaistiin melkein heti sen löytämisen jälkeen, ongelma on edelleen ajankohtainen. Takaisin vuonna 2017 , herkkä Heartbleedille.
Kuinka suojella itseäsi. kaivata versio 1.0.1g tai uudempi. Voit myös poistaa sykepyynnöt käytöstä manuaalisesti käyttämällä DOPENSSL_NO_HEARTBEATS-vaihtoehtoa. Päivityksen jälkeen tietoturva-asiantuntijat myöntää SSL-varmenteita uudelleen. Vaihto on tarpeen, jos salausavainten tiedot päätyvät hakkereiden käsiin.
Varmenteen vaihto
Hallittu solmu, jolla on laillinen SSL-sertifikaatti, asennetaan käyttäjän ja palvelimen välille, joka sieppaa aktiivisesti liikennettä. Tämä solmu esiintyy laillisena palvelimena esittämällä voimassa olevan varmenteen, ja MITM-hyökkäys on mahdollista suorittaa.
Mukaan tiimit Mozillasta, Googlesta ja useista yliopistoista, noin 11 % verkon suojatuista yhteyksistä salakuunnellaan. Tämä johtuu epäilyttävien juurivarmenteiden asentamisesta käyttäjien tietokoneisiin.
Kuinka suojella itseäsi. Käytä luotettavien palveluita . Palvelun avulla voit tarkistaa sertifikaattien "laadun". (CT). Pilvipalveluntarjoajat voivat auttaa myös salakuuntelun havaitsemisessa; jotkut suuret yritykset tarjoavat jo erikoistyökaluja TLS-yhteyksien valvontaan.
Toinen suojamenetelmä on uusi ACME, joka automatisoi SSL-varmenteiden vastaanottamisen. Samalla se lisää ylimääräisiä mekanismeja sivuston omistajan vahvistamiseksi. Lisää siitä .
/flickr/ / CC BY
HTTPS:n näkymät
Useista haavoittuvuuksista huolimatta IT-jättiläiset ja tietoturva-asiantuntijat luottavat protokollan tulevaisuuteen. HTTPS:n aktiiviseen käyttöönottoon WWW:n luoja Tim Berners-Lee. Hänen mukaansa TLS muuttuu ajan myötä turvallisemmaksi, mikä parantaa merkittävästi yhteyksien turvallisuutta. Berners-Lee jopa ehdotti sitä asiakassertifikaatit henkilöllisyyden todentamista varten. Ne auttavat parantamaan palvelimen suojaa hyökkääjiä vastaan.
Suunnitelmissa on myös kehittää SSL/TLS-teknologiaa koneoppimisen avulla – haitallisen liikenteen suodatuksesta vastaavat älykkäät algoritmit. HTTPS-yhteyksien avulla järjestelmänvalvojat eivät voi saada selville salattujen viestien sisältöä, mukaan lukien haittaohjelmien pyyntöjen havaitseminen. Jo nykyään hermoverkot pystyvät suodattamaan mahdollisesti vaaralliset paketit 90 % tarkkuudella. ().
Tulokset
Useimmat HTTPS-hyökkäykset eivät liity itse protokollaan, vaan vanhentuneiden salausmekanismien tukeen. IT-ala alkaa vähitellen luopua edellisen sukupolven protokollista ja tarjota uusia työkaluja haavoittuvuuksien etsimiseen. Tulevaisuudessa näistä työkaluista tulee yhä älykkäämpiä.
Lisää linkkejä aiheeseen:
Lähde: will.com