🥇 HTTPS પર સંભવિત હુમલાઓ અને તેમાંથી તમારી જાતને કેવી રીતે સુરક્ષિત કરવી

અડધી સાઇટ્સ HTTPS નો ઉપયોગ કરે છે, અને તેમની સંખ્યા સતત વધી રહી છે. પ્રોટોકોલ ટ્રાફિક અવરોધના જોખમને ઘટાડે છે, પરંતુ આવા હુમલાના પ્રયાસોને દૂર કરતું નથી. અમે તેમાંથી કેટલાક વિશે વાત કરીશું - POODLE, BEAST, DROWN અને અન્ય - અને અમારી સામગ્રીમાં રક્ષણની પદ્ધતિઓ.

/ફ્લિકર/ સ્વેન ગ્રીમ / સીસી બાય-એસએ

પૂડલ

હુમલા વિશે પ્રથમ વખત પૂડલ 2014 માં જાણીતું બન્યું. SSL 3.0 પ્રોટોકોલમાં એક નબળાઈ માહિતી સુરક્ષા નિષ્ણાત બોડો મોલર અને Google ના સહકર્મીઓ દ્વારા શોધી કાઢવામાં આવી હતી.

તેનો સાર નીચે મુજબ છે: હેકર ક્લાયંટને SSL 3.0 દ્વારા કનેક્ટ થવા દબાણ કરે છે, કનેક્શન બ્રેક્સનું અનુકરણ કરે છે. પછી તે એન્ક્રિપ્ટેડમાં શોધે છે સીબીસી-ટ્રાફિક મોડ ખાસ ટેગ સંદેશાઓ. બનાવટી વિનંતીઓની શ્રેણીનો ઉપયોગ કરીને, હુમલાખોર રુચિના ડેટાની સામગ્રીને પુનઃનિર્માણ કરવામાં સક્ષમ છે, જેમ કે કૂકીઝ.

SSL 3.0 એ જૂનો પ્રોટોકોલ છે. પરંતુ તેની સલામતીનો પ્રશ્ન હજુ પણ સંબંધિત છે. સર્વર સાથે સુસંગતતા સમસ્યાઓ ટાળવા માટે ક્લાયંટ તેનો ઉપયોગ કરે છે. કેટલાક ડેટા અનુસાર, 7 હજાર સૌથી વધુ લોકપ્રિય સાઇટ્સમાંથી લગભગ 100% હજુ પણ SSL 3.0 ને સપોર્ટ કરે છે. પણ અસ્તિત્વમાં છે POODLE માં ફેરફારો કે જે વધુ આધુનિક TLS 1.0 અને TLS 1.1 ને લક્ષ્ય બનાવે છે. આ વર્ષ દેખાયા છે નવા Zombie POODLE અને GOLDENDOODLE હુમલાઓ જે TLS 1.2 સુરક્ષાને બાયપાસ કરે છે (તેઓ હજુ પણ CBC એન્ક્રિપ્શન સાથે સંકળાયેલા છે).

તમારી જાતને કેવી રીતે સુરક્ષિત કરવી. મૂળ POODLE ના કિસ્સામાં, તમારે SSL 3.0 સપોર્ટને અક્ષમ કરવાની જરૂર છે. જો કે, આ કિસ્સામાં સુસંગતતા સમસ્યાઓનું જોખમ રહેલું છે. વૈકલ્પિક ઉકેલ TLS_FALLBACK_SCSV મિકેનિઝમ હોઈ શકે છે - તે ખાતરી કરે છે કે SSL 3.0 દ્વારા ડેટા એક્સચેન્જ ફક્ત જૂની સિસ્ટમો સાથે જ હાથ ધરવામાં આવશે. હુમલાખોરો હવે પ્રોટોકોલ ડાઉનગ્રેડ શરૂ કરી શકશે નહીં. Zombie POODLE અને GOLDENDOODLE સામે રક્ષણ મેળવવાનો એક માર્ગ TLS 1.2-આધારિત એપ્લિકેશન્સમાં CBC સપોર્ટને અક્ષમ કરવાનો છે. મુખ્ય ઉકેલ એ TLS 1.3 માં સંક્રમણ હશે - પ્રોટોકોલનું નવું સંસ્કરણ CBC એન્ક્રિપ્શનનો ઉપયોગ કરતું નથી. તેના બદલે, વધુ ટકાઉ AES અને ChaCha20 નો ઉપયોગ થાય છે.

બીસ્ટ

1.0 માં શોધાયેલ SSL અને TLS 2011 પરના પ્રથમ હુમલાઓમાંનો એક. પૂડલ, બીસ્ટની જેમ ઉપયોગ કરે છે CBC એન્ક્રિપ્શનની વિશેષતાઓ. હુમલાખોરો ક્લાયન્ટ મશીન પર JavaScript એજન્ટ અથવા Java એપ્લેટ ઇન્સ્ટોલ કરે છે, જે TLS અથવા SSL પર ડેટા ટ્રાન્સમિટ કરતી વખતે સંદેશાને બદલે છે. હુમલાખોરો "ડમી" પેકેટોની સામગ્રીને જાણતા હોવાથી, તેઓ તેનો ઉપયોગ પ્રારંભિક વેક્ટરને ડિક્રિપ્ટ કરવા અને સર્વર પરના અન્ય સંદેશાઓ વાંચવા માટે કરી શકે છે, જેમ કે પ્રમાણીકરણ કૂકીઝ.

આજની તારીખે, BEAST નબળાઈઓ રહે છે સંખ્યાબંધ નેટવર્ક સાધનો સંવેદનશીલ છે: સ્થાનિક ઈન્ટરનેટ ગેટવેના રક્ષણ માટે પ્રોક્સી સર્વર્સ અને એપ્લિકેશન્સ.

તમારી જાતને કેવી રીતે સુરક્ષિત કરવી. હુમલાખોરે ડેટાને ડિક્રિપ્ટ કરવા માટે નિયમિત વિનંતીઓ મોકલવાની જરૂર છે. VMware માં ભલામણ SSLSessionCacheTimeout ની અવધિ પાંચ મિનિટ (ડિફોલ્ટ ભલામણ) થી ઘટાડીને 30 સેકન્ડ કરો. આ અભિગમ હુમલાખોરો માટે તેમની યોજનાઓ અમલમાં મૂકવાનું વધુ મુશ્કેલ બનાવશે, જો કે તેની કામગીરી પર થોડી નકારાત્મક અસર પડશે. વધુમાં, તમારે એ સમજવાની જરૂર છે કે BEAST ની નબળાઈ ટૂંક સમયમાં તેના પોતાના પર ભૂતકાળ બની જશે - 2020 થી, સૌથી મોટા બ્રાઉઝર બંધ TLS 1.0 અને 1.1 માટે સપોર્ટ. કોઈપણ કિસ્સામાં, બધા બ્રાઉઝર વપરાશકર્તાઓમાંથી 1,5% કરતા ઓછા આ પ્રોટોકોલ્સ સાથે કામ કરે છે.

ડૂબવું

આ એક ક્રોસ-પ્રોટોકોલ હુમલો છે જે 2-બીટ RSA કી સાથે SSLv40 ના અમલીકરણમાં ભૂલોનું શોષણ કરે છે. હુમલાખોર લક્ષ્યના સેંકડો TLS કનેક્શન્સ સાંભળે છે અને સમાન ખાનગી કીનો ઉપયોગ કરીને SSLv2 સર્વર પર વિશેષ પેકેટો મોકલે છે. ઉપયોગ કરીને બ્લીચેનબેકર હુમલો, હેકર લગભગ હજાર ક્લાયંટ TLS સત્રોમાંથી એકને ડિક્રિપ્ટ કરી શકે છે.

DROWN પ્રથમ 2016 માં જાણીતું બન્યું - પછી તે બહાર આવ્યું સર્વરનો ત્રીજો ભાગ અસરગ્રસ્ત છે દુનિયા માં. આજે તે તેની સુસંગતતા ગુમાવી નથી. 150 હજાર સૌથી વધુ લોકપ્રિય સાઇટ્સમાંથી, 2% હજી પણ છે આધાર SSLv2 અને સંવેદનશીલ એન્ક્રિપ્શન મિકેનિઝમ્સ.

તમારી જાતને કેવી રીતે સુરક્ષિત કરવી. ક્રિપ્ટોગ્રાફિક લાઇબ્રેરીઓના વિકાસકર્તાઓ દ્વારા પ્રસ્તાવિત પેચો ઇન્સ્ટોલ કરવા જરૂરી છે જે SSLv2 સપોર્ટને અક્ષમ કરે છે. ઉદાહરણ તરીકે, ઓપનએસએસએલ (2016 માં) માટે આવા બે પેચો રજૂ કરવામાં આવ્યા હતા આ અપડેટ્સ હતા 1.0.1s અને 1.0.2g). ઉપરાંત, નબળા પ્રોટોકોલને અક્ષમ કરવા માટે અપડેટ્સ અને સૂચનાઓ પ્રકાશિત કરવામાં આવી હતી લાલ ટોપી, અપાચે, ડેબિયન.

વિકાસ વિભાગના વડા નોંધે છે કે, "સંસાધન ડૂબવા માટે સંવેદનશીલ હોઈ શકે છે જો તેની ચાવીઓ SSLv2 ધરાવતા તૃતીય-પક્ષ સર્વર દ્વારા ઉપયોગમાં લેવામાં આવે, જેમ કે મેઇલ સર્વર," વિકાસ વિભાગના વડા નોંધે છે. IaaS પ્રદાતા 1cloud.ru સેરગેઈ બેલ્કિન. — જો ઘણા સર્વરો સામાન્ય SSL પ્રમાણપત્રનો ઉપયોગ કરે છે તો આ પરિસ્થિતિ થાય છે. આ કિસ્સામાં, તમારે તમામ મશીનો પર SSLv2 સપોર્ટને અક્ષમ કરવાની જરૂર છે."

તમે સ્પેશિયલનો ઉપયોગ કરીને તમારી સિસ્ટમને અપડેટ કરવાની જરૂર છે કે કેમ તે તપાસી શકો છો ઉપયોગિતાઓ - તે માહિતી સુરક્ષા નિષ્ણાતો દ્વારા વિકસાવવામાં આવ્યું હતું જેમણે DROWN ની શોધ કરી હતી. તમે આ પ્રકારના હુમલા સામે રક્ષણ સંબંધિત ભલામણો વિશે વધુ વાંચી શકો છો OpenSSL વેબસાઇટ પર પોસ્ટ કરો.

હાર્બલ્ડ

સોફ્ટવેરમાં સૌથી મોટી નબળાઈઓ પૈકીની એક છે હાર્બલ્ડ. તે ઓપનએસએસએલ લાઇબ્રેરીમાં 2014 માં શોધાયું હતું. બગની જાહેરાત સમયે, સંવેદનશીલ વેબસાઇટ્સની સંખ્યા અડધા મિલિયન હોવાનો અંદાજ હતો - આ નેટવર્ક પરના લગભગ 17% સુરક્ષિત સંસાધનો છે.

આ હુમલો નાના હાર્ટબીટ TLS એક્સ્ટેંશન મોડ્યુલ દ્વારા લાગુ કરવામાં આવે છે. TLS પ્રોટોકોલ માટે જરૂરી છે કે ડેટા સતત પ્રસારિત થાય. લાંબા સમય સુધી ડાઉનટાઇમના કિસ્સામાં, બ્રેક થાય છે અને કનેક્શન ફરીથી સ્થાપિત કરવું પડે છે. સમસ્યાનો સામનો કરવા માટે, સર્વર્સ અને ક્લાયંટ કૃત્રિમ રીતે ચેનલને "અવાજ" કરે છે (RFC 6520, p.5), રેન્ડમ લંબાઈનું પેકેટ ટ્રાન્સમિટ કરવું. જો તે સમગ્ર પેકેટ કરતાં મોટું હતું, તો OpenSSL ની સંવેદનશીલ આવૃત્તિઓ ફાળવેલ બફરની બહાર મેમરી વાંચે છે. આ વિસ્તારમાં ખાનગી એન્ક્રિપ્શન કી અને અન્ય કનેક્શન્સ વિશેની માહિતી સહિત કોઈપણ ડેટા હોઈ શકે છે.

લાઇબ્રેરીના 1.0.1 અને 1.0.1f સહિતની તમામ આવૃત્તિઓમાં, તેમજ સંખ્યાબંધ ઓપરેટિંગ સિસ્ટમ્સમાં નબળાઈ હાજર હતી - 12.04.4 સુધી ઉબુન્ટુ, 6.5 કરતાં જૂની CentOS, OpenBSD 5.3 અને અન્ય. એક સંપૂર્ણ યાદી છે હાર્ટબ્લિડને સમર્પિત વેબસાઇટ પર. જો કે આ નબળાઈ સામેના પેચો તેની શોધ પછી લગભગ તરત જ બહાર પાડવામાં આવ્યા હતા, આ સમસ્યા આજ સુધી સુસંગત છે. 2017 માં પાછા લગભગ 200 હજાર સાઇટ્સ કામ કરે છે, હાર્ટબ્લીડ માટે સંવેદનશીલ.

તમારી જાતને કેવી રીતે સુરક્ષિત કરવી. તે જરૂરી છે OpenSSL અપડેટ કરો આવૃત્તિ 1.0.1g અથવા ઉચ્ચ સુધી. તમે DOPENSSL_NO_HEARTBEATS વિકલ્પનો ઉપયોગ કરીને મેન્યુઅલી હાર્ટબીટ વિનંતીઓને અક્ષમ પણ કરી શકો છો. અપડેટ પછી, માહિતી સુરક્ષા નિષ્ણાતો ભલામણ SSL પ્રમાણપત્રો ફરીથી જારી કરો. જો એન્ક્રિપ્શન કી પરનો ડેટા હેકર્સના હાથમાં આવી જાય તો તેને બદલવાની જરૂર છે.

પ્રમાણપત્ર અવેજી

કાયદેસર SSL પ્રમાણપત્ર સાથેનું મેનેજ કરેલ નોડ વપરાશકર્તા અને સર્વર વચ્ચે ઇન્સ્ટોલ કરેલું છે, જે ટ્રાફિકને સક્રિયપણે અટકાવે છે. આ નોડ માન્ય પ્રમાણપત્ર રજૂ કરીને કાયદેસર સર્વરની નકલ કરે છે, અને MITM હુમલો કરવાનું શક્ય બને છે.

અનુસાર સંશોધન Mozilla, Google અને અસંખ્ય યુનિવર્સિટીઓની ટીમો, નેટવર્ક પરના લગભગ 11% સુરક્ષિત કનેક્શન્સ છૂપાવવામાં આવ્યા છે. આ વપરાશકર્તાઓના કમ્પ્યુટર્સ પર શંકાસ્પદ રૂટ પ્રમાણપત્રો ઇન્સ્ટોલ કરવાનું પરિણામ છે.

તમારી જાતને કેવી રીતે સુરક્ષિત કરવી. વિશ્વસનીય સેવાઓનો ઉપયોગ કરો SSL પ્રદાતાઓ. તમે સેવાનો ઉપયોગ કરીને પ્રમાણપત્રોની "ગુણવત્તા" ચકાસી શકો છો પ્રમાણપત્ર પારદર્શિતા (સીટી). ક્લાઉડ પ્રદાતાઓ પણ ઇવસ્ડ્રોપિંગ શોધવામાં મદદ કરી શકે છે; કેટલીક મોટી કંપનીઓ પહેલેથી જ TLS કનેક્શન્સનું નિરીક્ષણ કરવા માટે વિશિષ્ટ સાધનો પ્રદાન કરે છે.

સંરક્ષણની બીજી પદ્ધતિ નવી હશે માનક ACME, જે SSL પ્રમાણપત્રોની રસીદને સ્વચાલિત કરે છે. તે જ સમયે, તે સાઇટના માલિકને ચકાસવા માટે વધારાની પદ્ધતિઓ ઉમેરશે. તેના વિશે વધુ અમે અમારી અગાઉની સામગ્રીમાંની એકમાં લખ્યું હતું.

/ફ્લિકર/ યુરી સેમોઇલોવ / સીસી દ્વારા

HTTPS માટે સંભાવનાઓ

સંખ્યાબંધ નબળાઈઓ હોવા છતાં, IT જાયન્ટ્સ અને માહિતી સુરક્ષા નિષ્ણાતો પ્રોટોકોલના ભવિષ્યમાં વિશ્વાસ ધરાવે છે. HTTPS ના સક્રિય અમલીકરણ માટે હિમાયત WWW સર્જક ટિમ બર્નર્સ-લી. તેમના મતે, સમય જતાં TLS વધુ સુરક્ષિત બનશે, જે કનેક્શન્સની સુરક્ષામાં નોંધપાત્ર સુધારો કરશે. બર્નર્સ-લીએ પણ તે સૂચવ્યું ભવિષ્યમાં દેખાશે ઓળખ પ્રમાણીકરણ માટે ક્લાઈન્ટ પ્રમાણપત્રો. તેઓ હુમલાખોરોથી સર્વર સુરક્ષાને સુધારવામાં મદદ કરશે.

મશીન લર્નિંગનો ઉપયોગ કરીને SSL/TLS ટેક્નોલોજી વિકસાવવાની પણ યોજના છે - દૂષિત ટ્રાફિકને ફિલ્ટર કરવા માટે સ્માર્ટ અલ્ગોરિધમ્સ જવાબદાર રહેશે. HTTPS કનેક્શન્સ સાથે, એડમિનિસ્ટ્રેટર્સ પાસે મૉલવેરની વિનંતીઓ શોધવા સહિત, એન્ક્રિપ્ટેડ સંદેશાઓની સામગ્રી શોધવાનો કોઈ રસ્તો નથી. પહેલેથી જ આજે, ન્યુરલ નેટવર્ક 90% ચોકસાઈ સાથે સંભવિત જોખમી પેકેટોને ફિલ્ટર કરવામાં સક્ષમ છે. (પ્રસ્તુતિ સ્લાઇડ 23).

તારણો

HTTPS પરના મોટાભાગના હુમલા પ્રોટોકોલની સમસ્યાઓ સાથે સંબંધિત નથી, પરંતુ જૂના એન્ક્રિપ્શન મિકેનિઝમ્સને સમર્થન આપવા માટે છે. IT ઉદ્યોગ ધીમે ધીમે પાછલી પેઢીના પ્રોટોકોલ્સને છોડી દેવાનું શરૂ કરી રહ્યું છે અને નબળાઈઓ શોધવા માટે નવા સાધનો ઓફર કરે છે. ભવિષ્યમાં, આ સાધનો વધુને વધુ બુદ્ધિશાળી બનશે.

વિષય પર વધારાની લિંક્સ:

સોર્સ: www.habr.com

HTTPS પર સંભવિત હુમલાઓ અને તેમની સામે કેવી રીતે રક્ષણ કરવું