HTTPSге потенциалдуу чабуулдар жана алардан кантип коргонуу керек

Сайттардын жарымы HTTPS колдонот, жана алардын саны тынымсыз өсүп жатат. Протокол трафикти бөгөт коюу коркунучун азайтат, бирок чабуул жасоо аракетин жок кылбайт. Биз алардын кээ бирлери жөнүндө - ПУДУЛ, ЖЫРТКЫЧ, СӨГҮҮ жана башкалар - жана коргоо ыкмалары жөнүндө материалыбызда сүйлөшөбүз.

HTTPSге потенциалдуу чабуулдар жана алардан кантип коргонуу керек
/flickr/ Свен Грэм / CC BY-SA

ПУДЛ

Кол салуу жөнүндө биринчи жолу ПУДЛ 2014-жылы белгилүү болгон. SSL 3.0 протоколунун алсыздыгын маалыматтык коопсуздук боюнча адис Бодо Моллер жана Google'дун кесиптештери аныкташкан.

Анын маңызы төмөндөгүдөй: хакер кардарды SSL 3.0 аркылуу туташууга мажбурлайт, туташуу үзгүлтүктөрүн эмуляциялайт. Андан кийин ал шифрленгенден издейт CBC-трафик режими атайын теги билдирүүлөр. Бир катар жасалма сурамдарды колдонуу менен, чабуулчу кукилер сыяктуу кызыктырган маалыматтардын мазмунун кайра түзө алат.

SSL 3.0 эскирген протокол болуп саналат. Бирок анын коопсуздугу маселеси дагы эле актуалдуу бойдон калууда. Кардарлар аны серверлер менен шайкештик көйгөйлөрүн болтурбоо үчүн колдонушат. Айрым маалыматтар боюнча, 7 миң эң популярдуу сайттардын дээрлик 100% дагы эле SSL 3.0 колдойт. дагы жок заманбап TLS 1.0 жана TLS 1.1ге багытталган POODLEге өзгөртүүлөр. Ушул жылы пайда TLS 1.2 коргоосун айланып өткөн жаңы Zombie POODLE жана GOLDENDOODLE чабуулдары (алар дагы эле CBC шифрлөө менен байланышкан).

Өзүңдү кантип коргоо керек. Түпнуска PUODLE учурда, сиз SSL 3.0 колдоосун өчүрүшүңүз керек. Бирок, бул учурда шайкештик көйгөйлөр коркунучу бар. Альтернативалык чечим TLS_FALLBACK_SCSV механизми болушу мүмкүн - ал SSL 3.0 аркылуу маалымат алмашуу эски системалар менен гана жүргүзүлөөрүн камсыздайт. Чабуулчулар мындан ары протоколду төмөндөтүүгө кирише алышпайт. Zombie PUODLE жана GOLDENDOODLEден коргонуунун жолу TLS 1.2 негизиндеги тиркемелерде CBC колдоосун өчүрүү болуп саналат. Кардиналдык чечим TLS 1.3ке өтүү болот - протоколдун жаңы версиясында CBC шифрлөө колдонулбайт. Анын ордуна, бир кыйла бышык AES жана ChaCha20 колдонулат.

ЖЫРТКЫЧ

1.0-жылы ачылган SSL жана TLS 2011 боюнча эң биринчи чабуулдардын бири. ПУДЛ, ЖЫРТКЫ сыяктуу колдонуу CBC шифрлөө өзгөчөлүктөрү. Чабуулчулар кардар машинасына JavaScript агентин же Java апплетин орнотушат, ал TLS же SSL аркылуу маалыматтарды өткөрүп жатканда билдирүүлөрдү алмаштырат. Чабуулчулар “думмий” пакеттердин мазмунун билгендиктен, алар аларды инициализация векторунун шифрин чечүүгө жана аутентификация кукилери сыяктуу серверге башка билдирүүлөрдү окуу үчүн колдоно алышат.

Бүгүнкү күнгө карата, BEAST алсыздыктары калууда бир катар тармак куралдары сезгич болуп саналат: Жергиликтүү интернет шлюздарын коргоо үчүн прокси серверлер жана тиркемелер.

Өзүңдү кантип коргоо керек. Чабуулчу маалыматтарды шифрлөө үчүн үзгүлтүксүз суроо-талаптарды жөнөтүшү керек. VMware ичинде сунуш кылуу SSLSessionCacheTimeout узактыгын беш мүнөттөн (демейки сунуш) 30 секундага чейин кыскартуу. Бул ыкма чабуулчуларга пландарын ишке ашырууну кыйындатат, бирок бул көрсөткүчкө терс таасирин тийгизет. Кошумчалай кетсек, BEAST аялуулугу жакында өз алдынча өткөн нерсе болуп калышы мүмкүн экенин түшүнүшүңүз керек - 2020-жылдан бери эң ири браузерлер токто TLS 1.0 жана 1.1 үчүн колдоо. Кандай болгон күндө да, бардык браузер колдонуучулардын 1,5% дан азы бул протоколдор менен иштешет.

ЧӨГҮҮ

Бул 2 биттик RSA ачкычтары менен SSLv40ди ишке ашыруудагы мүчүлүштүктөрдү пайдаланган кайчылаш протоколдук чабуул. Чабуулчу максаттын жүздөгөн TLS байланыштарын угат жана ошол эле купуя ачкычты колдонуп SSLv2 серверине атайын пакеттерди жөнөтөт. Колдонуу Блейхенбахер чабуулу, хакер миңге жакын кардар TLS сеанстарынын бирин чече алат.

ЧӨГҮҮ биринчи жолу 2016-жылы белгилүү болгон - кийин ал болуп чыкты серверлердин үчтөн бир бөлүгү жабыркады дүйнөдө. Бүгүнкү күндө ал өзүнүн актуалдуулугун жогото элек. 150 миң эң популярдуу сайттардын 2% дагы эле колдоо SSLv2 жана аялуу шифрлөө механизмдери.

Өзүңдү кантип коргоо керек. SSLv2 колдоосун өчүргөн криптографиялык китепканаларды иштеп чыгуучулар сунуштаган тактарды орнотуу керек. Мисалы, OpenSSL үчүн ушундай эки тактар ​​сунушталган (2016-ж бул жаңыртуулар болчу 1.0.1s жана 1.0.2g). Ошондой эле, жаңыртуулар жана аялуу протоколду өчүрүү боюнча нускамалар жарыяланган Кызыл шляпа, Apache, Debian.

"Эгер ресурстун ачкычтары почта сервери сыяктуу SSLv2 менен үчүнчү тараптын сервери тарабынан колдонулса, DROWN үчүн аялуу болушу мүмкүн", - деп белгилейт өнүктүрүү бөлүмүнүн башчысы. IaaS провайдери 1cloud.ru Сергей Белкин. — Бул жагдай бир нече серверлер жалпы SSL сертификатын колдонсо пайда болот. Бул учурда, сиз бардык машиналарда SSLv2 колдоосун өчүрүшүңүз керек."

Сиз атайын программаны колдонуп тутумуңузду жаңыртуу керекпи же жокпу текшере аласыз пайдалуу — аны СӨГҮҮнү тапкан маалыматтык коопсуздук боюнча адистер иштеп чыгышкан. Кол салуулардын бул түрүнөн коргоо боюнча сунуштар тууралуу кененирээк бул жерден окуй аласыз OpenSSL веб-сайтында жайгаштыруу.

Жүрөктөн чыккан

Программалык камсыздоодогу эң чоң кемчиликтердин бири Жүрөктөн чыккан. Ал 2014-жылы OpenSSL китепканасында табылган. Мүчүлүштүктөрдү жарыялоо учурунда, аялуу веб-сайттардын саны жарым миллионго бааланган - бул тармактагы корголгон ресурстардын болжол менен 17% түзөт.

Кол салуу кичинекей Heartbeat TLS кеңейтүү модулу аркылуу ишке ашырылат. TLS протоколу маалыматтардын үзгүлтүксүз берилишин талап кылат. Узакка созулган токтоп калган учурда үзгүлтүккө учурап, байланышты кайра орнотууга туура келет. Көйгөй менен күрөшүү үчүн серверлер жана кардарлар каналды жасалма түрдө "ызы-чуу кылышат" (RFC 6520, 5-б), кокус узундуктагы пакетти берүү. Эгер ал бүт пакеттен чоңураак болсо, OpenSSLдин аялуу версиялары бөлүнгөн буферден тышкары эстутумду окушат. Бул аймак жеке шифрлөө ачкычтарын жана башка байланыштар тууралуу маалыматты камтыган бардык маалыматтарды камтышы мүмкүн.

Бул кемчилик китепкананын 1.0.1 жана 1.0.1f версияларынын ортосундагы бардык версияларында, ошондой эле бир катар операциялык системаларда болгон - Ubuntu 12.04.4 чейин, CentOS 6.5тен эски, OpenBSD 5.3 жана башкалар. Толук тизме жеткиликтүү Heartbleed арналган сайтында. Бул алсыздыкка каршы тактар ​​анын ачылгандан кийин дароо чыгарылганына карабастан, көйгөй ушул күнгө чейин актуалдуу бойдон калууда. Кайра 2017-жылы дээрлик 200 миң сайт иштеген, Жүрөктөн кан агууга кабылат.

Өзүңдү кантип коргоо керек. керек OpenSSL жаңыртуу 1.0.1g версиясына чейин же андан жогору. Ошондой эле DOPENSSL_NO_HEARTBEATS опциясын колдонуп, жүрөктүн согушу сурамдарын кол менен өчүрө аласыз. Жаңылоодон кийин маалымат коопсуздугу боюнча адистер сунуш кылуу SSL сертификаттарын кайра чыгаруу. Эгер шифрлөө ачкычтарындагы маалыматтар хакерлердин колуна түшүп калса, алмаштыруу керек.

Сертификат алмаштыруу

Мыйзамдуу SSL сертификаты бар башкарылуучу түйүн колдонуучу менен сервердин ортосунда орнотулуп, трафикти активдүү кармап турат. Бул түйүн жарактуу сертификатты көрсөтүү менен легитимдүү сервердин атынан чыгат жана MITM чабуулун ишке ашыруу мүмкүн болот.

ылайык Геологиялык чалгындоо Mozilla, Google жана бир катар университеттердин командалары, тармактагы коопсуз байланыштардын болжол менен 11% тыңшашат. Бул колдонуучулардын компьютерлерине шектүү түпкү сертификаттарды орнотуунун натыйжасы.

Өзүңдү кантип коргоо керек. Ишенимдүү кызматтарды колдонуңуз SSL камсыздоочулары. Сертификаттардын "сапатын" кызматтын жардамы менен текшере аласыз Сертификаттын ачыктыгы (КТ). Булут провайдерлери тыңшоону аныктоого да жардам бере алышат.

Коргоонун дагы бир ыкмасы жаңы болот -стандартты, SSL сертификаттарын алууну автоматташтырган ACME. Ошол эле учурда ал сайттын ээсин текшерүү үчүн кошумча механизмдерди кошот. Бул тууралуу көбүрөөк биз озалкы материалларыц биринде яздык.

HTTPSге потенциалдуу чабуулдар жана алардан кантип коргонуу керек
/flickr/ Юрий Самойлов / CC BY

HTTPS келечеги

Бир катар алсыздыктарга карабастан, IT гиганттары жана маалымат коопсуздугу боюнча эксперттер протоколдун келечегине ишенишет. HTTPS активдүү ишке ашыруу үчүн турат WWW жаратуучусу Тим Бернерс-Ли. Анын айтымында, убакыттын өтүшү менен TLS коопсуз болуп калат, бул байланыштардын коопсуздугун бир топ жакшыртат. Бернерс-Ли муну сунуш кылган келечекте пайда болот инсандыгын текшерүү үчүн кардар сертификаттары. Алар серверди чабуулчулардан коргоону жакшыртууга жардам берет.

Ошондой эле SSL/TLS технологиясын машиналык окутууну колдонуу менен өнүктүрүү пландаштырылууда – акылдуу алгоритмдер зыяндуу трафикти чыпкалоо үчүн жооп берет. HTTPS туташуусу менен администраторлор шифрленген билдирүүлөрдүн мазмунун, анын ичинде кесепеттүү программадан келген суроо-талаптарды аныктоого мүмкүнчүлүк алышпайт. Азыртадан эле нейрондук тармактар ​​90% тактык менен потенциалдуу коркунучтуу пакеттерди чыпкалоого жөндөмдүү. (презентация слайд 23).

табылгалары

HTTPSге жасалган чабуулдардын көбү протоколдун өзүндөгү көйгөйлөргө эмес, эскирген шифрлөө механизмдерин колдоого байланыштуу. IT индустриясы акырындык менен мурунку муундагы протоколдордон баш тартып, аялуу жерлерди издөө үчүн жаңы куралдарды сунуштай баштады. Келечекте бул куралдар барган сайын акылдуу болуп калат.

Тема боюнча кошумча шилтемелер:

Source: www.habr.com

DDoS коргоосу, VPS VDS серверлери бар сайттар үчүн ишенимдүү хостинг сатып алыңыз 🔥 DDoS коргоосу, VPS VDS серверлери бар ишенимдүү веб-сайт хостингин сатып алыңыз | ProHoster