Leth de na làraich , agus tha an àireamh aca a' dol am meud. Bidh am protocol a’ lughdachadh cunnart eadar-theachd trafaic, ach chan eil e a’ cuir às do dh’ ionnsaighean mar sin. Bruidhnidh sinn mu chuid dhiubh - POODLE, BEAST, DROWN agus feadhainn eile - agus dòighean dìon nar stuth.
/flickr/ / CC BY-SA
POODLE
Airson a 'chiad uair mun ionnsaigh air a bhith aithnichte ann an 2014. Chaidh so-leòntachd anns a’ phròtacal SSL 3.0 a lorg leis an eòlaiche tèarainteachd fiosrachaidh Bodo Möller agus co-obraichean bho Google.
Tha a bhrìgh mar a leanas: bidh an neach-tarraing a’ toirt air an neach-dèiligidh ceangal a dhèanamh tro SSL 3.0, a’ dèanamh atharrais air briseadh ceangail. An uairsin bidh e a’ lorg anns a’ chrioptachadh - teachdaireachdan tag sònraichte modh trafaic. A’ cleachdadh sreath de dh’ iarrtasan cruthaichte, bidh e comasach do neach-ionnsaigh susbaint dàta inntinneach ath-chruthachadh, leithid briosgaidean.
Tha SSL 3.0 na phròtacal seann-fhasanta. Ach tha a’ cheist mu a shàbhailteachd fhathast buntainneach. Bidh teachdaichean ga chleachdadh gus cùisean co-chòrdalachd le frithealaichean a sheachnadh. A rèir cuid de dhàta, tha faisg air 7% de na 100 mìle làraich as mòr-chòrdte . Cuideachd atharrachaidhean air POODLE a tha ag amas air TLS 1.0 nas ùire agus TLS 1.1. Am-bliadhna ionnsaighean ùra Zombie POODLE agus GOLDENDOODLE a bheir seachad dìon TLS 1.2 (tha iad fhathast co-cheangailte ri crioptachadh CBC).
Mar a dhìonas tu thu fhèin. A thaobh an POODLE tùsail, feumaidh tu taic SSL 3.0 a dhì-cheadachadh. Ach, anns a 'chùis seo tha cunnart ann gum bi duilgheadasan co-fhreagarrachd ann. Dh’ fhaodadh fuasgladh eile a bhith na inneal TLS_FALLBACK_SCSV - bidh e a’ dèanamh cinnteach nach tèid iomlaid dàta tro SSL 3.0 a dhèanamh ach le seann shiostaman. Cha bhith e comasach dha luchd-ionnsaigh tuilleadh ìsleachadh protocol a thòiseachadh. Is e dòigh air dìon an aghaidh Zombie POODLE agus GOLDENDOODLE taic CBC a chuir dheth ann an tagraidhean stèidhichte air TLS 1.2. Is e am fuasgladh radaigeach an gluasad gu TLS 1.3 - chan eil an dreach ùr den phròtacal a’ cleachdadh crioptachadh CBC. An àite sin, thathas a’ cleachdadh AES agus ChaCha20 nas seasmhaiche.
BEAST
Aon de na ciad ionnsaighean air SSL agus TLS 1.0, a chaidh a lorg ann an 2011. Coltach ri POODLE, BEAST feartan crioptachadh CBC. Bidh luchd-ionnsaigh a’ stàladh àidseant JavaScript no applet Java air inneal an teachdaiche, a thèid an àite teachdaireachdan nuair a bhios iad a’ sgaoileadh dàta thairis air TLS no SSL. Leis gu bheil fios aig luchd-ionnsaigh air susbaint nam pacaidean “dummy”, faodaidh iad an cleachdadh gus an vectar tòiseachaidh a dhì-chrioptachadh agus teachdaireachdan eile a leughadh chun t-seirbheisiche, leithid briosgaidean dearbhaidh.
Mar an-diugh, tha so-leòntachd BEAST fhathast ann : Frithealaichean proxy agus tagraidhean airson geataichean eadar-lìn ionadail a dhìon.
Mar a dhìonas tu thu fhèin. Feumaidh an neach-ionnsaigh iarrtasan cunbhalach a chuir a-steach gus an dàta a dhì-chrioptachadh. Ann an VMware lughdaich fad SSLSessionCacheTimeout bho chòig mionaidean (moladh bunaiteach) gu 30 diogan. Bidh an dòigh-obrach seo ga dhèanamh nas duilghe do luchd-ionnsaigh na planaichean aca a bhuileachadh, ged a bheir e droch bhuaidh air coileanadh. A bharrachd air an sin, feumaidh tu tuigsinn gum faodadh so-leòntachd BEAST a thighinn gu bhith na rud san àm a dh’ fhalbh leis fhèin - bho 2020, na brobhsairean as motha taic airson TLS 1.0 agus 1.1. Ann an suidheachadh sam bith, bidh nas lugha na 1,5% de luchd-cleachdaidh brabhsair ag obair leis na protocolaidhean sin.
DRUINN
Is e ionnsaigh tar-phròtacal a tha seo a bhios a’ dèanamh feum de bhiteagan ann a bhith a’ buileachadh SSLv2 le iuchraichean RSA 40-bit. Bidh an neach-ionnsaigh ag èisteachd ris na ceudan de cheanglaichean TLS den targaid agus a’ cur pacaidean sònraichte gu frithealaiche SSLv2 a’ cleachdadh an aon iuchair phrìobhaideach. A 'cleachdadh , faodaidh neach-tarraing aon de mu mhìle seisean TLS teachdaiche a dhì-chrioptachadh.
Thàinig DROWN gu bhith aithnichte an toiseach ann an 2016 - an uairsin thionndaidh e a-mach gu bhith anns an t-saoghal. An-diugh chan eil e air a bhuntanas a chall. De na 150 mìle làraich as mòr-chòrdte, tha 2% fhathast SSLv2 agus innealan crioptachaidh so-leònte.
Mar a dhìonas tu thu fhèin. Feumar pìosan a chuir a-steach a mhol luchd-leasachaidh leabharlannan criptografach a chuireas casg air taic SSLv2. Mar eisimpleir, chaidh dà phìos den leithid a thaisbeanadh airson OpenSSL (ann an 2016 1.0.1s agus 1.0.2g). Cuideachd, chaidh ùrachaidhean agus stiùireadh airson a’ phròtacal so-leònte fhoillseachadh ann an , , .
“Faodaidh goireas a bhith so-leònte ri DROWN ma tha na h-iuchraichean aige air an cleachdadh le frithealaiche treas-phàrtaidh le SSLv2, leithid frithealaiche puist,” thuirt ceannard na roinne leasachaidh Sergei Belkin. - Bidh an suidheachadh seo a’ tachairt ma chleachdas grunn luchd-frithealaidh teisteanas SSL cumanta. Anns a’ chùis seo, feumaidh tu taic SSLv2 a chuir dheth air a h-uile inneal."
Faodaidh tu dearbhadh a bheil feum aig an t-siostam agad ùrachadh le bhith a’ cleachdadh inneal sònraichte - chaidh a leasachadh le eòlaichean tèarainteachd fiosrachaidh a lorg DROWN. Faodaidh tu barrachd a leughadh mu mholaidhean co-cheangailte ri dìon an aghaidh an seòrsa ionnsaigh seo a-steach .
Leasaich leudachain
Is e aon de na so-leòntachd as motha ann am bathar-bog . Chaidh a lorg ann an 2014 ann an leabharlann OpenSSL. Aig àm an ainmeachadh bug, an àireamh de làraich-lìn so-leònte - tha seo timcheall air 17% de na goireasan dìonta air an lìonra.
Tha an ionnsaigh air a chuir an gnìomh tro mhodal leudachaidh beag Heartbeat TLS. Tha protocol TLS ag iarraidh gun tèid dàta a ghluasad gu leantainneach. Ma tha ùine downt fada ann, bidh briseadh ann agus feumar an ceangal ath-stèidheachadh. Gus dèiligeadh ris an duilgheadas, bidh luchd-frithealaidh agus teachdaichean gu “fuaim” an t-sianal (), a’ sgaoileadh pacaid de dh’fhaid air thuaiream. Nam biodh e nas motha na a’ phacaid gu lèir, an uairsin leugh dreachan so-leònte de OpenSSL cuimhne taobh a-muigh a’ bhufair ainmichte. Dh’ fhaodadh dàta sam bith a bhith san raon seo, a’ toirt a-steach iuchraichean crioptachaidh prìobhaideach agus fiosrachadh mu cheanglaichean eile.
Bha an so-leòntachd an làthair anns a h-uile dreach den leabharlann eadar 1.0.1 agus 1.0.1f in-ghabhalach, a bharrachd air ann an grunn shiostaman obrachaidh - Ubuntu suas gu 12.04.4, CentOS nas sine na 6.5, OpenBSD 5.3 agus feadhainn eile. Tha liosta iomlan ann . Ged a chaidh pìosan an-aghaidh an so-leòntachd seo a leigeil ma sgaoil cha mhòr sa bhad às deidh a lorg, tha an duilgheadas fhathast buntainneach chun an latha an-diugh. Air ais ann an 2017 , buailteach do Heartbleed.
Mar a dhìonas tu thu fhèin. Tha e riatanach suas gu dreach 1.0.1g no nas àirde. 'S urrainn dhut cuideachd iarrtasan Heartbeat a chur à comas le làimh leis an roghainn DOPENSSL_NO_HEARTBEATS. Às deidh an ùrachadh, bidh eòlaichean tèarainteachd fiosrachaidh ath-fhoillseachadh teisteanasan SSL. Tha feum air fear eile air eagal ‘s gum bi an dàta air na h-iuchraichean crioptachaidh a’ tighinn gu crìch ann an làmhan hackers.
Ionadachadh teisteanas
Tha nód stiùirichte le teisteanas SSL dligheach air a chuir a-steach eadar an neach-cleachdaidh agus an frithealaiche, a ’toirt a-steach trafaic gu gnìomhach. Bidh an nód seo a’ dèanamh atharrais air frithealaiche dligheach le bhith a’ taisbeanadh teisteanas dligheach, agus bidh e comasach ionnsaigh MITM a dhèanamh.
A rèir sgiobaidhean bho Mozilla, Google agus grunn oilthighean, tha mu 11% de cheanglaichean tèarainte air an lìonra air an cluinntinn. Tha seo mar thoradh air stàladh teisteanasan freumha amharasach air coimpiutairean luchd-cleachdaidh.
Mar a dhìonas tu thu fhèin. Cleachd na seirbheisean earbsach . Faodaidh tu sgrùdadh a dhèanamh air “càileachd” theisteanasan a’ cleachdadh na seirbheis (CT). Faodaidh solaraichean sgòthan cuideachadh cuideachd le bhith a’ lorg cluasan; tha cuid de chompanaidhean mòra mu thràth a’ tabhann innealan sònraichte airson sùil a chumail air ceanglaichean TLS.
Bidh dòigh dìon eile na dhòigh ùr ACME, a nì fèin-ghluasad air faighinn teisteanasan SSL. Aig an aon àm, cuiridh e uidheamachdan a bharrachd a-steach gus sealbhadair na làraich a dhearbhadh. Tuilleadh mu dheidhinn .
/flickr/ / CC BY
Sùileachadh airson HTTPS
A dh’ aindeoin grunn so-leòntachd, tha fuamhairean IT agus eòlaichean tèarainteachd fiosrachaidh misneachail san àm ri teachd don phròtacal. Airson buileachadh gnìomhach HTTPS Neach-cruthachaidh WWW Tim Berners-Lee. A rèir e, thar ùine bidh TLS a 'fàs nas tèarainte, a bheir leasachadh mòr air tèarainteachd cheanglaichean. Mhol Berners-Lee eadhon sin teisteanasan teachdaiche airson dearbhadh dearbh-aithne. Cuidichidh iad le bhith ag adhartachadh dìon an fhrithealaiche bho luchd-ionnsaigh.
Thathas cuideachd an dùil teicneòlas SSL / TLS a leasachadh a’ cleachdadh ionnsachadh innealan - bidh uallach air algorithms snasail airson trafaic droch-rùnach a shìoladh. Le ceanglaichean HTTPS, chan eil dòigh aig luchd-rianachd faighinn a-mach susbaint teachdaireachdan crioptaichte, a’ toirt a-steach lorg iarrtasan bho malware. A-cheana an-diugh, tha lìonraidhean neural comasach air pacaidean a dh’ fhaodadh a bhith cunnartach a shìoladh le cruinneas 90%. ().
toraidhean
Chan eil a’ mhòr-chuid de dh’ ionnsaighean air HTTPS co-cheangailte ri duilgheadasan leis a’ phròtacal fhèin, ach ri taic airson dòighean crioptachaidh seann-fhasanta. Tha an gnìomhachas IT a’ tòiseachadh mean air mhean air protocolaidhean ginealach roimhe a thrèigsinn agus a’ tabhann innealan ùra airson a bhith a’ lorg so-leòntachd. Anns an àm ri teachd, bidh na h-innealan sin a 'sìor fhàs tuigseach.
Ceanglaichean a bharrachd air a’ chuspair:
Source: www.habr.com