Hiki ke hoʻouka ʻia ma HTTPS a pehea e pale aku ai iā lākou

ʻO ka hapalua o nā pūnaewele hoʻohana i ka HTTPS, a ke mahuahua mau nei ko lakou heluna. Hoʻemi ka protocol i ka pilikia o ka interception traffic, akā ʻaʻole ia e kāpae i nā hoʻāʻo hoʻouka e like me ia. E kamaʻilio mākou e pili ana i kekahi o lākou - POODLE, BEAST, DROWN a me nā mea ʻē aʻe - a me nā ʻano o ka pale ʻana i kā mākou mea.

/flickr/ Sven Graeme / CC BY-SA

POODLE

No ka manawa mua e pili ana i ka hoouka POODLE i ʻike ʻia i ka makahiki 2014. Ua ʻike ʻia kahi palupalu i ka protocol SSL 3.0 e ka loea palekana ʻike ʻo Bodo Möller a me nā hoa hana mai Google.

ʻO kona ʻano nui penei: koi ka mea hacker i ka mea kūʻai aku e hoʻopili ma o SSL 3.0, e hoʻohālikelike ana i nā haʻihaʻi pili. A laila ʻimi ʻo ia i loko o ka encrypted CBC- nā memo hōʻailona kūikawā ma ke ʻano kaʻahele. Ke hoʻohana nei i kahi ʻano o nā noi hoʻopunipuni, hiki i ka mea hoʻouka ke kūkulu hou i nā ʻike o ka ʻikepili hoihoi, e like me nā kuki.

ʻO SSL 3.0 kahi protocol kahiko. Akā, pili mau ka nīnau no kona palekana. Hoʻohana nā mea kūʻai aku e pale i nā pilikia pili me nā kikowaena. Wahi a kekahi mauʻikepili, kokoke i ka 7% o ka 100 tausani mau pūnaewele kaulana loa kākoʻo mau ʻo SSL 3.0. ^ E Ha yM. Eia pū kekahi aia nā hoʻololi ʻana iā POODLE e kuhikuhi ana i ka TLS 1.0 a me TLS 1.1 hou aʻe. I kēia makahiki ʻikeʻia hoʻouka kaua Zombie POODLE a me GOLDENDOODLE hou e kāʻalo ana i ka pale o TLS 1.2 (ua pili pū lākou me ka hoʻopunipuni CBC).

Pehea e pale ai iā ʻoe iho. I ka hihia o ka POODLE kumu, pono ʻoe e hoʻopau i ke kākoʻo SSL 3.0. Eia naʻe, i kēia hihia aia kahi pilikia o nā pilikia pili. ʻO kahi hoʻonā ʻokoʻa ʻē aʻe ʻo ia ka TLS_FALLBACK_SCSV mechanical - ʻo ia ka mea e hoʻokō ʻia ai ka hoʻololi ʻikepili ma o SSL 3.0 me nā ʻōnaehana kahiko. ʻAʻole hiki i nā mea hoʻouka ke hoʻomaka i nā hoʻohaʻahaʻa protocol. ʻO kahi ala e pale aku ai iā Zombie POODLE a me GOLDENDOODLE ʻo ka hoʻopau ʻana i ke kākoʻo CBC ma nā polokalamu TLS 1.2. ʻO ka hopena koʻikoʻi ka hoʻololi i TLS 1.3 - ʻaʻole hoʻohana ka mana hou o ka protocol i ka hoʻopili CBC. Akā, hoʻohana ʻia ʻo AES a me ChaCha20 ʻoi aku ka lōʻihi.

na holoholona

ʻO kekahi o nā hoʻouka mua loa ma SSL a me TLS 1.0, i ʻike ʻia ma 2011. E like me PODLE, BEAST hoʻohana nā hiʻohiʻona o ka CBC encryption. Hoʻokomo ka poʻe hoʻouka i kahi mea JavaScript a i ʻole Java applet ma ka mīkini mea kūʻai aku, kahi e pani ai i nā memo i ka wā e hoʻouna ana i ka ʻikepili ma luna o TLS a i ʻole SSL. Ma muli o ka ʻike ʻana o ka poʻe hoʻouka kaua i ka ʻike o nā ʻeke "dummy", hiki iā lākou ke hoʻohana iā lākou e hoʻokaʻawale i ka vector hoʻomaka a heluhelu i nā leka ʻē aʻe i ke kikowaena, e like me nā kuki hōʻoia.

E like me kēia lā, mau nā nāwaliwali o BEAST hiki ke maʻalahi kekahi mau mea hana pūnaewele: Nā kikowaena proxy a me nā noi no ka pale ʻana i nā ʻīpuka pūnaewele kūloko.

Pehea e pale ai iā ʻoe iho. Pono ka mea hoʻouka e hoʻouna i nā noi maʻamau e wehe i ka ʻikepili. Ma VMware paipai aku e ho'ēmi i ka lōʻihi o SSLSessionCacheTimeout mai ʻelima mau minuke (manaʻo paʻamau) i 30 kekona. ʻO kēia ala e lilo i mea paʻakikī i ka poʻe hoʻouka kaua e hoʻokō i kā lākou mau hoʻolālā, ʻoiai he hopena maikaʻi ʻole ia i ka hana. Eia kekahi, pono ʻoe e hoʻomaopopo e lilo koke ka nāwaliwali o BEAST i mea o ka wā i hala ma kāna iho - mai ka makahiki 2020, nā mākaʻikaʻi nui loa. kū kākoʻo no TLS 1.0 a me 1.1. I kekahi hihia, emi iho ma lalo o 1,5% o nā mea hoʻohana polokalamu kele pūnaewele e hana pū me kēia mau protocols.

POLOLE

ʻO kēia kahi hoʻouka kaua cross-protocol e hoʻohana i nā pōpoki i ka hoʻokō ʻana o SSLv2 me nā kī RSA 40-bit. Hoʻolohe ka mea hoʻouka i nā haneli TLS o ka pahuhopu a hoʻouna i nā ʻeke kūikawā i kahi kikowaena SSLv2 me ka hoʻohana ʻana i ke kī pilikino like. Ke hoʻohana nei Hoʻouka kaua ʻo Bleichenbacher, hiki i ka mea hacker ke hoʻokaʻawale i hoʻokahi o kahi kaukani mau kau TLS mea kūʻai aku.

Ua ʻike mua ʻia ʻo DROWN ma 2016 - a laila ua lilo ia hoʻopilikia ʻia kahi hapakolu o nā kikowaena i ka honua. I kēia lā ʻaʻole i nalowale kona pili. ʻO 150 tausani mau pūnaewele kaulana loa, 2% mau kākoʻo SSLv2 a me nā mea hoʻopunipuni hoʻopunipuni.

Pehea e pale ai iā ʻoe iho. Pono e hoʻokomo i nā ʻāpana i manaʻo ʻia e nā mea hoʻomohala o nā hale waihona puke cryptographic e hoʻopau i ke kākoʻo SSLv2. No ka laʻana, ua hōʻike ʻia ʻelua mau ʻāpana no OpenSSL (ma 2016 he mau mea hou keia 1.0.1s a me 1.0.2g). Eia kekahi, ua paʻi ʻia nā mea hou a me nā ʻōlelo aʻoaʻo no ka hoʻopau ʻana i ka protocol vulnerable Red Hat, Apache, Debian.

"Hiki paha i kahi kumuwaiwai ke DROWN inā hoʻohana ʻia kāna mau kī e kahi kikowaena ʻaoʻao ʻekolu me SSLv2, e like me ke kikowaena leka uila," wahi a ke poʻo o ka ʻoihana hoʻomohala. IaaS mea hoʻolako 1cloud.ru Sergei Belkin. — Loaʻa kēia kūlana inā hoʻohana kekahi mau kikowaena i kahi palapala SSL maʻamau. I kēia hihia, pono ʻoe e hoʻopau i ke kākoʻo SSLv2 ma nā mīkini āpau.

Hiki iā ʻoe ke nānā inā pono e hoʻonui ʻia kāu ʻōnaehana me ka hoʻohana ʻana i kahi kūikawā ʻaha hui uila - ua hoʻomohala ʻia e nā loea palekana ʻike i ʻike iā DROWN. Hiki iā ʻoe ke heluhelu hou aʻe e pili ana i nā ʻōlelo paipai e pili ana i ka pale ʻana i kēia ʻano hoʻouka ma hoʻouna ma ka pūnaewele OpenSSL.

Puuwai

ʻO kekahi o nā nāwaliwali nui loa i ka polokalamu Puuwai. Ua ʻike ʻia ma 2014 ma ka waihona OpenSSL. I ka manawa o ka hoʻolaha bug, ka nui o nā pūnaewele pilikia ua manaoia ma ka hapalua miliona - aia kēia ma kahi o 17% o nā kumuwaiwai i mālama ʻia ma ka pūnaewele.

Hoʻokō ʻia ka hoʻouka ʻana ma o ka liʻiliʻi Heartbeat TLS extension module. Pono ka protocol TLS e hoʻouna mau ʻia ka ʻikepili. Inā lōʻihi ka manawa hoʻomaha, hiki ke hoʻomaha a pono e hoʻokumu hou i ka pilina. No ka hoʻokō ʻana i ka pilikia, ʻo nā kikowaena a me nā mea kūʻai aku e "hauʻoli" i ke kahawai (RFC 6520, p.5), e hoʻouna ana i kahi ʻeke o ka lōʻihi like ʻole. Inā ʻoi aku ka nui ma mua o ka ʻeke holoʻokoʻa, a laila heluhelu ʻia ka hoʻomanaʻo o OpenSSL ma waho o ka buffer i hāʻawi ʻia. Hiki i kēia wahi ke loaʻa kekahi ʻikepili, me nā kī hoʻopunipuni pilikino a me ka ʻike e pili ana i nā pilina ʻē aʻe.

Aia ka vulnerability i nā mana āpau o ka waihona ma waena o 1.0.1 a me 1.0.1f i ​​loko, a me nā ʻōnaehana hana - ʻo Ubuntu a hiki i 12.04.4, CentOS ʻoi aku ma mua o 6.5, OpenBSD 5.3 a me nā mea ʻē aʻe. Aia kahi papa inoa piha ma kahi pūnaewele i hoʻolaʻa ʻia no Heartbleed. ʻOiai ua hoʻokuʻu ʻia nā pale e kūʻē i kēia nāwaliwali ma hope koke o kona ʻike ʻana, pili mau ka pilikia a hiki i kēia lā. I ka makahiki 2017 kokoke 200 tausani kahua i hana, hiki i ka Heartbleed.

Pehea e pale ai iā ʻoe iho. He mea pono hōʻano hou iā OpenSSL a hiki i ka mana 1.0.1g a i ʻole. Hiki iā ʻoe ke hoʻopau i nā noi Heartbeat me ka lima me ka hoʻohana ʻana i ke koho DOPENSSL_NO_HEARTBEATS. Ma hope o ka hōʻano hou, nā loea palekana ʻike paipai aku hoʻopuka hou i nā palapala SSL. Pono kahi pani inā pau ka ʻikepili ma nā kī encryption i ka lima o nā mea hacker.

Hoʻololi palapala

Hoʻokomo ʻia kahi node i mālama ʻia me kahi palapala SSL kūpono ma waena o ka mea hoʻohana a me ke kikowaena, me ka hoʻopale ʻana i nā kaʻa. Hoʻopili kēia node i kahi kikowaena kūpono ma ka hōʻike ʻana i kahi palapala hōʻoia kūpono, a hiki ke hoʻokō i kahi hoʻouka MITM.

Wahi a noiʻi ʻO nā hui mai Mozilla, Google a me kekahi mau kulanui, ma kahi o 11% o nā pilina paʻa ma ka pūnaewele i lohe ʻia. ʻO kēia ka hopena o ka hoʻokomo ʻana i nā palapala aʻa kānalua ma nā kamepiula o nā mea hoʻohana.

Pehea e pale ai iā ʻoe iho. E hoʻohana i nā lawelawe o ka hilinaʻi Nā mea hoʻolako SSL. Hiki iā ʻoe ke nānā i ka "maikaʻi" o nā palapala hōʻoia me ka hoʻohana ʻana i ka lawelawe Palapala Hōʻoiaʻiʻo (CT). Hiki i nā mea hāʻawi kapua ke kōkua i ka ʻike ʻana i ka eavesdropping; ua hāʻawi mua kekahi mau hui nui i nā mea hana kūikawā no ka nānā ʻana i nā pilina TLS.

ʻO kekahi ʻano o ka pale ʻana he mea hou kūlana ACME, ka mea e hoʻokaʻawale i ka loaʻa ʻana o nā palapala SSL. I ka manawa like, e hoʻohui ia i nā mīkini hou e hōʻoia i ka mea nona ka pūnaewele. Nā mea hou aku e pili ana i ia mea Ua kākau mākou i kekahi o kā mākou mau mea mua.

/flickr/ ʻO Yuri Samoilov / CC BY

Nā manaʻo no HTTPS

ʻOiai ka nui o nā haʻahaʻa, ua hilinaʻi nā mea nunui IT a me nā loea palekana ʻike i ka wā e hiki mai ana o ka protocol. No ka hoʻokō ikaika o HTTPS nā mea noi WWW mea hana ʻo Tim Berners-Lee. Wahi a ia, ma hope o ka manawa e lilo ai ka TLS i mea palekana, kahi e hoʻomaikaʻi nui ai i ka palekana o nā pilina. Ua ʻōlelo ʻo Berners-Lee i kēlā e puka mai ana ma keia mua aku nā palapala hōʻoia o ka mea kūʻai aku no ka hōʻoia ʻike. E kōkua lākou i ka hoʻomaikaʻi ʻana i ka pale o ka server mai nā mea hoʻouka.

Hoʻolālā ʻia hoʻi e hoʻomohala i ka ʻenehana SSL/TLS me ka hoʻohana ʻana i ka mīkini aʻo - na nā algorithms akamai ke kuleana no ke kānana ʻana i nā kaʻa hewa. Me nā pilina HTTPS, ʻaʻohe ala o nā luna e ʻike ai i nā ʻike o nā memo i hoʻopili ʻia, me ka ʻike ʻana i nā noi mai ka polokalamu malware. I kēia lā, hiki i nā pūnaewele neural ke kānana i nā ʻeke pilikia me ka 90% pololei. (paheʻe hōʻikeʻike 23).

haʻina

ʻAʻole pili ka hapa nui o ka hoʻouka ʻana ma HTTPS i nā pilikia me ka protocol ponoʻī, akā no ke kākoʻo ʻana i nā mīkini hoʻopunipuni kahiko. Ke hoʻomaka nei ka ʻoihana IT e haʻalele haʻahaʻa i nā protocols o ka hanauna i hala a hāʻawi i nā mea hana hou no ka ʻimi ʻana i nā nāwaliwali. I ka wā e hiki mai ana, e lilo ana kēia mau mea hana i ka naʻauao.

Nā loulou hou aku ma ke kumuhana:

• Ka hoʻomohala ʻana i ke ao, ka palekana ʻike a me ka ʻikepili pilikino: digest mai 1cloud
• SSL digest: ʻO nā mea hana maikaʻi loa ma Habré a me nā mea hou aku
• VPN digest: Nā ʻatikala hoʻomaka ma Habré a me nā mea hou aku

Source: www.habr.com