התקפות פוטנציאליות על HTTPS וכיצד להתגונן מפניהן

חצי מהאתרים משתמש ב-HTTPS, ומספרם גדל בהתמדה. הפרוטוקול מקטין את הסיכון ליירוט תעבורה, אך אינו מבטל ניסיונות התקפות ככאלה. נדבר על כמה מהם - POODLE, BEAST, DROWN ואחרים - ושיטות הגנה בחומר שלנו.

/flickr/ סוון גראם / CC BY-SA

פּוּדֵל

בפעם הראשונה על הפיגוע פּוּדֵל נודע ב-2014. פגיעות בפרוטוקול SSL 3.0 התגלתה על ידי מומחה אבטחת המידע Bodo Möller ועמיתיו מגוגל.

המהות שלה היא כדלקמן: ההאקר מאלץ את הלקוח להתחבר באמצעות SSL 3.0, תוך חיקוי של הפסקות חיבור. ואז הוא מחפש במוצפן CBC-תגיות הודעות מיוחדות במצב תנועה. באמצעות סדרה של בקשות מזויפות, תוקף מסוגל לשחזר את התוכן של נתונים מעניינים, כגון עוגיות.

SSL 3.0 הוא פרוטוקול מיושן. אבל שאלת הבטיחות שלו עדיין רלוונטית. לקוחות משתמשים בו כדי למנוע בעיות תאימות עם שרתים. על פי נתונים מסוימים, כמעט 7% מ-100 אלף האתרים הפופולריים ביותר עדיין תומך ב-SSL 3.0. גם יש שינויים ב-POODLE שמכוונים ל-TLS 1.0 ו-TLS 1.1 המודרניים יותר. השנה הופיע התקפות חדשות של Zombie POODLE ו-GOLDENDOODLE שעוקפות את הגנת TLS 1.2 (הן עדיין קשורות להצפנת CBC).

איך להגן על עצמך. במקרה של ה-POODLE המקורי, עליך להשבית את תמיכת SSL 3.0. עם זאת, במקרה זה קיים סיכון לבעיות תאימות. פתרון חלופי יכול להיות מנגנון TLS_FALLBACK_SCSV - הוא מבטיח שחילופי נתונים באמצעות SSL 3.0 יתבצעו רק עם מערכות ישנות יותר. תוקפים לא יוכלו עוד ליזום שדרוג לאחור של פרוטוקול. דרך להגן מפני Zombie POODLE ו-GOLDENDOODLE היא להשבית את תמיכת CBC ביישומים מבוססי TLS 1.2. הפתרון הקרדינלי יהיה המעבר ל-TLS 1.3 - הגרסה החדשה של הפרוטוקול אינה משתמשת בהצפנת CBC. במקום זאת, נעשה שימוש ב-AES ו-ChaCha20 עמידים יותר.

חַיָה

אחת ההתקפות הראשונות על SSL ו-TLS 1.0, שהתגלתה ב-2011. כמו פודל, חיה использует תכונות של הצפנת CBC. תוקפים מתקינים סוכן JavaScript או יישומון Java במחשב הלקוח, אשר מחליף הודעות בעת העברת נתונים באמצעות TLS או SSL. מכיוון שתוקפים יודעים את התוכן של מנות ה"דמה", הם יכולים להשתמש בהן כדי לפענח את וקטור האתחול ולקרוא הודעות אחרות לשרת, כגון עוגיות אימות.

עד כה נותרו פגיעויות של BEAST מספר כלי רשת רגישים: שרתי פרוקסי ויישומים להגנה על שערי אינטרנט מקומיים.

איך להגן על עצמך. התוקף צריך לשלוח בקשות קבועות כדי לפענח את הנתונים. ב-VMware להמליץ צמצם את משך הזמן של SSLSessionCacheTimeout מחמש דקות (המלצת ברירת מחדל) ל-30 שניות. גישה זו תקשה על התוקפים ליישם את התוכניות שלהם, אם כי תהיה לה השפעה שלילית מסוימת על הביצועים. בנוסף, עליכם להבין שפגיעות BEAST עשויה להפוך בקרוב לנחלת העבר בפני עצמה - מאז 2020, הדפדפנים הגדולים ביותר תפסיק תמיכה ב-TLS 1.0 ו-1.1. בכל מקרה, פחות מ-1,5% מכלל משתמשי הדפדפן עובדים עם הפרוטוקולים הללו.

לְהַטבִּיעַ

מדובר במתקפה צולבת פרוטוקולים המנצלת באגים ביישום SSLv2 עם מפתחות RSA של 40 סיביות. התוקף מאזין למאות חיבורי TLS של המטרה ושולח מנות מיוחדות לשרת SSLv2 באמצעות אותו מפתח פרטי. באמצעות התקפת בלייכנבאכר, האקר יכול לפענח אחד מתוך כאלף הפעלות TLS של לקוח.

DROWN נודע לראשונה ב-2016 - אז התברר שכן שליש מהשרתים מושפעים בעולם. היום זה לא איבד מהרלוונטיות שלו. מתוך 150 אלף האתרים הפופולריים ביותר, 2% עדיין תמיכה SSLv2 ומנגנוני הצפנה פגיעים.

איך להגן על עצמך. יש צורך להתקין תיקונים המוצעים על ידי מפתחי ספריות קריפטוגרפיות המשביתות את תמיכת SSLv2. לדוגמה, שני תיקונים כאלה הוצגו עבור OpenSSL (בשנת 2016 אלו היו עדכונים 1.0.1 שניות ו-1.0.2 גרם). כמו כן, עדכונים והוראות לביטול הפרוטוקול הפגיע פורסמו ב רד האט, אַפָּשׁ, דביאן.

"משאב עלול להיות פגיע ל-DROWN אם המפתחות שלו משמשים שרת צד שלישי עם SSLv2, כמו שרת דואר", מציין ראש מחלקת הפיתוח ספק IaaS 1cloud.ru סרגיי בלקין. - מצב זה מתרחש אם מספר שרתים משתמשים באישור SSL משותף. במקרה זה, עליך להשבית את תמיכת SSLv2 בכל המכונות."

אתה יכול לבדוק אם יש צורך לעדכן את המערכת שלך באמצעות מיוחד כלי עזר - הוא פותח על ידי מומחי אבטחת מידע שגילו את DROWN. אתה יכול לקרוא עוד על המלצות הקשורות להגנה מפני סוג זה של התקפה ב פרסם באתר OpenSSL.

heartbleed

אחת הפגיעות הגדולות ביותר בתוכנה היא heartbleed. זה התגלה בשנת 2014 בספריית OpenSSL. בזמן הכרזת הבאג, מספר האתרים הפגיעים הוערך בחצי מיליון - זהו כ-17% מהמשאבים המוגנים ברשת.

ההתקפה מיושמת באמצעות מודול ההרחבה הקטן של Heartbeat TLS. פרוטוקול TLS דורש העברת נתונים באופן רציף. במקרה של השבתה ממושכת, מתרחשת הפסקה ויש ליצור מחדש את החיבור. כדי להתמודד עם הבעיה, שרתים ולקוחות "מרעישים" באופן מלאכותי את הערוץ (RFC 6520, עמ' 5), משדר חבילה באורך אקראי. אם הוא היה גדול יותר מכל החבילה, אז גרסאות פגיעות של OpenSSL קראו זיכרון מעבר למאגר שהוקצה. אזור זה יכול להכיל כל מידע, כולל מפתחות הצפנה פרטיים ומידע על חיבורים אחרים.

הפגיעות הייתה קיימת בכל גרסאות הספרייה בין 1.0.1 ל-1.0.1f כולל, וכן במספר מערכות הפעלה - אובונטו עד 12.04.4, CentOS ישן מ-6.5, OpenBSD 5.3 ואחרות. יש רשימה מלאה באתר המוקדש ל-Heartbleed. למרות שתיקונים נגד פגיעות זו שוחררו כמעט מיד לאחר גילויה, הבעיה נותרה רלוונטית עד היום. עוד ב-2017 כמעט 200 אלף אתרים עבדו, רגיש ל-Heartbleed.

איך להגן על עצמך. צריך עדכן את OpenSSL עד גרסה 1.0.1g ומעלה. אתה יכול גם להשבית בקשות Heartbeat באופן ידני באמצעות האפשרות DOPENSSL_NO_HEARTBEATS. לאחר העדכון, מומחי אבטחת מידע להמליץ להנפיק מחדש תעודות SSL. יש צורך בהחלפה במקרה שהנתונים על מפתחות ההצפנה יגיעו לידי האקרים.

החלפת תעודה

צומת מנוהל עם אישור SSL לגיטימי מותקן בין המשתמש לשרת, ויירט באופן פעיל תעבורה. צומת זה מתחזה לשרת לגיטימי על ידי הצגת אישור תקף, ומתאפשר לבצע מתקפת MITM.

על פי מחקר צוותים ממוזילה, גוגל ומספר אוניברסיטאות, כ-11% מהחיבורים המאובטחים ברשת מצותתים. זוהי תוצאה של התקנת אישורי שורש חשודים במחשבי המשתמשים.

איך להגן על עצמך. השתמש בשירותיו של אמין ספקי SSL. ניתן לבדוק את "איכות" התעודות באמצעות השירות שקיפות תעודה (CT). ספקי ענן יכולים גם לעזור באיתור האזנות סתר; כמה חברות גדולות כבר מציעות כלים מיוחדים לניטור חיבורי TLS.

שיטה נוספת להגנה תהיה חדשה стандарт ACME, שעושה אוטומטית את קבלת תעודות SSL. במקביל, היא תוסיף מנגנונים נוספים לאימות הבעלים של האתר. עוד על זה כתבנו באחד מהחומרים הקודמים שלנו.

/flickr/ יורי סמוילוב / CC BY

סיכויים עבור HTTPS

למרות מספר נקודות תורפה, ענקיות IT ומומחי אבטחת מידע בטוחים בעתיד הפרוטוקול. ליישום פעיל של HTTPS תומכים יוצר WWW טים ברנרס-לי. לדבריו, עם הזמן TLS תהפוך מאובטחת יותר, מה שישפר משמעותית את אבטחת החיבורים. ברנרס-לי אפילו הציע את זה יופיע בעתיד אישורי לקוח לאימות זהות. הם יעזרו לשפר את הגנת השרת מפני תוקפים.

כמו כן, מתוכנן לפתח טכנולוגיית SSL/TLS באמצעות למידת מכונה – אלגוריתמים חכמים יהיו אחראים על סינון תעבורה זדונית. עם חיבורי HTTPS, למנהלי מערכת אין דרך לגלות את התוכן של הודעות מוצפנות, כולל זיהוי בקשות מתוכנות זדוניות. כבר היום, רשתות עצביות מסוגלות לסנן מנות שעלולות להיות מסוכנות עם דיוק של 90%. (מצגת שקופית 23).

ממצאים

רוב ההתקפות על HTTPS אינן קשורות לבעיות בפרוטוקול עצמו, אלא לתמיכה במנגנוני הצפנה מיושנים. תעשיית ה-IT מתחילה לנטוש בהדרגה את הפרוטוקולים מהדור הקודם ולהציע כלים חדשים לחיפוש נקודות תורפה. בעתיד, הכלים הללו יהפכו ליותר ויותר אינטליגנטיים.

קישורים נוספים בנושא:

• פיתוח בענן, אבטחת מידע ונתונים אישיים: תקציר מ-1cloud
• תקציר SSL: החומרים המעשיים הטובים ביותר על Habré ועוד
• תקציר VPN: מאמרי מבוא על Habré ועוד

מקור: www.habr.com