HTTPS மீதான சாத்தியமான தாக்குதல்கள் மற்றும் அவற்றிலிருந்து எவ்வாறு பாதுகாப்பது

பாதி தளங்கள் HTTPS ஐப் பயன்படுத்துகிறது, மற்றும் அவர்களின் எண்ணிக்கை சீராக அதிகரித்து வருகிறது. நெறிமுறை போக்குவரத்து இடைமறிப்பு அபாயத்தை குறைக்கிறது, ஆனால் அது போன்ற முயற்சி தாக்குதல்களை அகற்றாது. அவற்றில் சிலவற்றைப் பற்றி பேசுவோம் - POODLE, BEAST, DROWN மற்றும் பிற - மற்றும் எங்கள் பொருளில் பாதுகாப்பு முறைகள்.

/flickr/ ஸ்வென் கிரேம் / CC BY-SA

பூடில்

தாக்குதல் பற்றி முதல் முறையாக பூடில் 2014 இல் அறியப்பட்டது. SSL 3.0 நெறிமுறையில் உள்ள பாதிப்பு, தகவல் பாதுகாப்பு நிபுணர் போடோ மோல்லர் மற்றும் கூகுளின் சக பணியாளர்களால் கண்டறியப்பட்டது.

அதன் சாராம்சம் பின்வருமாறு: ஹேக்கர் கிளையண்டை SSL 3.0 வழியாக இணைக்க கட்டாயப்படுத்துகிறார், இணைப்பு முறிவுகளைப் பின்பற்றுகிறார். பின்னர் அது மறைகுறியாக்கப்பட்டதில் தேடுகிறது சிபிசி- போக்குவரத்து முறை சிறப்பு குறிச்சொல் செய்திகள். போலியான கோரிக்கைகளின் வரிசையைப் பயன்படுத்தி, தாக்குபவர் குக்கீகள் போன்ற ஆர்வமுள்ள தரவின் உள்ளடக்கங்களை மறுகட்டமைக்க முடியும்.

SSL 3.0 என்பது காலாவதியான நெறிமுறை. ஆனால் அவரது பாதுகாப்பு குறித்த கேள்வி இன்னும் பொருத்தமானது. சேவையகங்களுடன் பொருந்தக்கூடிய சிக்கல்களைத் தவிர்க்க வாடிக்கையாளர்கள் இதைப் பயன்படுத்துகின்றனர். சில தரவுகளின்படி, 7 ஆயிரம் மிகவும் பிரபலமான தளங்களில் கிட்டத்தட்ட 100% இன்னும் SSL 3.0ஐ ஆதரிக்கிறது. மேலும் அங்கு நவீன TLS 1.0 மற்றும் TLS 1.1 ஐ இலக்காகக் கொண்ட POODLE இல் மாற்றங்கள். இந்த வருடம் தோன்றினார் TLS 1.2 பாதுகாப்பைக் கடந்து செல்லும் புதிய Zombie POODLE மற்றும் GOLDENDOODLE தாக்குதல்கள் (அவை இன்னும் CBC குறியாக்கத்துடன் தொடர்புடையவை).

உங்களை எவ்வாறு பாதுகாத்துக் கொள்வது. அசல் POODLE ஐப் பொறுத்தவரை, நீங்கள் SSL 3.0 ஆதரவை முடக்க வேண்டும். இருப்பினும், இந்த விஷயத்தில் பொருந்தக்கூடிய சிக்கல்களின் ஆபத்து உள்ளது. ஒரு மாற்று தீர்வு TLS_FALLBACK_SCSV பொறிமுறையாக இருக்கலாம் - SSL 3.0 வழியாக தரவு பரிமாற்றம் பழைய கணினிகளில் மட்டுமே மேற்கொள்ளப்படும் என்பதை இது உறுதி செய்கிறது. தாக்குபவர்கள் இனி நெறிமுறை தரமிறக்கங்களைத் தொடங்க முடியாது. Zombie POODLE மற்றும் GOLDENDOODLE ஆகியவற்றிலிருந்து பாதுகாப்பதற்கான ஒரு வழி TLS 1.2-அடிப்படையிலான பயன்பாடுகளில் CBC ஆதரவை முடக்குவதாகும். கார்டினல் தீர்வு TLS 1.3 க்கு மாற்றமாக இருக்கும் - நெறிமுறையின் புதிய பதிப்பு CBC குறியாக்கத்தைப் பயன்படுத்தாது. அதற்கு பதிலாக, அதிக நீடித்த AES மற்றும் ChaCha20 பயன்படுத்தப்படுகின்றன.

மிருகம்

1.0 இல் கண்டுபிடிக்கப்பட்ட SSL மற்றும் TLS 2011 மீதான முதல் தாக்குதல்களில் ஒன்று. POODLE, BEAST போன்றது பயன்கள் சிபிசி குறியாக்கத்தின் அம்சங்கள். தாக்குபவர்கள் கிளையன்ட் கணினியில் ஜாவாஸ்கிரிப்ட் ஏஜென்ட் அல்லது ஜாவா ஆப்லெட்டை நிறுவுகின்றனர், இது TLS அல்லது SSL மூலம் தரவை அனுப்பும் போது செய்திகளை மாற்றும். தாக்குபவர்கள் "டம்மி" பாக்கெட்டுகளின் உள்ளடக்கங்களை அறிந்திருப்பதால், துவக்க திசையனை மறைகுறியாக்க மற்றும் அங்கீகார குக்கீகள் போன்ற பிற செய்திகளை சேவையகத்திற்கு படிக்க அவற்றைப் பயன்படுத்தலாம்.

இன்றைய நிலவரப்படி, BEAST பாதிப்புகள் உள்ளன பல நெட்வொர்க் கருவிகள் எளிதில் பாதிக்கப்படுகின்றன: ப்ராக்ஸி சர்வர்கள் மற்றும் உள்ளூர் இணைய நுழைவாயில்களைப் பாதுகாப்பதற்கான பயன்பாடுகள்.

உங்களை எவ்வாறு பாதுகாத்துக் கொள்வது. டேட்டாவை மறைகுறியாக்க, தாக்குபவர் வழக்கமான கோரிக்கைகளை அனுப்ப வேண்டும். VMware இல் பரிந்துரை SSLSessionCacheTimeout இன் கால அளவை ஐந்து நிமிடங்களிலிருந்து (இயல்புநிலை பரிந்துரை) 30 வினாடிகளாகக் குறைக்கவும். இந்த அணுகுமுறை தாக்குபவர்கள் தங்கள் திட்டங்களை செயல்படுத்துவதை மிகவும் கடினமாக்கும், இருப்பினும் இது செயல்திறனில் எதிர்மறையான தாக்கத்தை ஏற்படுத்தும். கூடுதலாக, BEAST பாதிப்பு விரைவில் கடந்த காலத்தின் ஒரு விஷயமாக மாறக்கூடும் என்பதை நீங்கள் புரிந்து கொள்ள வேண்டும் - 2020 முதல், மிகப்பெரிய உலாவிகள் நிறுத்து TLS 1.0 மற்றும் 1.1 க்கான ஆதரவு. எப்படியிருந்தாலும், அனைத்து உலாவி பயனர்களில் 1,5% க்கும் குறைவானவர்கள் இந்த நெறிமுறைகளுடன் வேலை செய்கிறார்கள்.

மூழ்கி

இது 2-பிட் RSA விசைகள் மூலம் SSLv40 செயல்படுத்துவதில் உள்ள பிழைகளை பயன்படுத்திக் கொள்ளும் குறுக்கு-நெறிமுறை தாக்குதலாகும். தாக்குபவர் இலக்கின் நூற்றுக்கணக்கான TLS இணைப்புகளைக் கேட்கிறார் மற்றும் அதே தனிப்பட்ட விசையைப் பயன்படுத்தி ஒரு SSLv2 சேவையகத்திற்கு சிறப்பு பாக்கெட்டுகளை அனுப்புகிறார். பயன்படுத்தி Bleichenbacher தாக்குதல், ஒரு ஹேக்கர் சுமார் ஆயிரம் கிளையன்ட் TLS அமர்வுகளில் ஒன்றை மறைகுறியாக்க முடியும்.

DROWN முதலில் 2016 இல் அறியப்பட்டது - பின்னர் அது மாறியது மூன்றில் ஒரு பங்கு சர்வர்கள் பாதிக்கப்பட்டுள்ளன இந்த உலகத்தில். இன்று அது அதன் பொருத்தத்தை இழக்கவில்லை. 150 ஆயிரம் மிகவும் பிரபலமான தளங்களில், 2% இன்னும் உள்ளன ஆதரவு SSLv2 மற்றும் பாதிக்கப்படக்கூடிய குறியாக்க வழிமுறைகள்.

உங்களை எவ்வாறு பாதுகாத்துக் கொள்வது. SSLv2 ஆதரவை முடக்கும் கிரிப்டோகிராஃபிக் லைப்ரரிகளின் டெவலப்பர்களால் முன்மொழியப்பட்ட இணைப்புகளை நிறுவ வேண்டியது அவசியம். எடுத்துக்காட்டாக, OpenSSLக்கு (2016 இல்) இதுபோன்ற இரண்டு இணைப்புகள் வழங்கப்பட்டன இவை புதுப்பிப்புகள் 1.0.1s மற்றும் 1.0.2g). மேலும், பாதிக்கப்படக்கூடிய நெறிமுறையை முடக்குவதற்கான புதுப்பிப்புகள் மற்றும் அறிவுறுத்தல்கள் வெளியிடப்பட்டன , Red Hat, அப்பாச்சி, டெபியன்.

"அஞ்சல் சேவையகம் போன்ற SSLv2 உடன் மூன்றாம் தரப்பு சேவையகத்தால் அதன் விசைகள் பயன்படுத்தப்பட்டால், ஒரு ஆதாரம் DROWN பாதிக்கப்படலாம்" என்று மேம்பாட்டுத் துறையின் தலைவர் குறிப்பிடுகிறார். IaaS வழங்குநர் 1cloud.ru செர்ஜி பெல்கின். — பல சேவையகங்கள் பொதுவான SSL சான்றிதழைப் பயன்படுத்தினால் இந்த நிலை ஏற்படும். இந்த வழக்கில், நீங்கள் அனைத்து கணினிகளிலும் SSLv2 ஆதரவை முடக்க வேண்டும்."

உங்கள் கணினியை சிறப்புப் பயன்படுத்தி புதுப்பிக்க வேண்டுமா என்பதை நீங்கள் சரிபார்க்கலாம் பயன்பாடுகள் - இது DROWN ஐக் கண்டுபிடித்த தகவல் பாதுகாப்பு நிபுணர்களால் உருவாக்கப்பட்டது. இந்த வகையான தாக்குதலுக்கு எதிரான பாதுகாப்பு தொடர்பான பரிந்துரைகளைப் பற்றி மேலும் படிக்கலாம் OpenSSL இணையதளத்தில் இடுகையிடவும்.

Heartbleed

மென்பொருளில் உள்ள மிகப்பெரிய பாதிப்புகளில் ஒன்று Heartbleed. இது OpenSSL நூலகத்தில் 2014 இல் கண்டுபிடிக்கப்பட்டது. பிழை அறிவிப்பின் போது, ​​பாதிக்கப்படக்கூடிய இணையதளங்களின் எண்ணிக்கை அரை மில்லியன் என மதிப்பிடப்பட்டது - இது நெட்வொர்க்கில் உள்ள பாதுகாக்கப்பட்ட வளங்களில் தோராயமாக 17% ஆகும்.

சிறிய ஹார்ட்பீட் TLS நீட்டிப்பு தொகுதி மூலம் தாக்குதல் செயல்படுத்தப்படுகிறது. TLS நெறிமுறைக்கு தரவு தொடர்ந்து அனுப்பப்பட வேண்டும். நீடித்த வேலையில்லா நேரத்தின் போது, ​​ஒரு இடைவெளி ஏற்படுகிறது மற்றும் இணைப்பு மீண்டும் நிறுவப்பட வேண்டும். சிக்கலைச் சமாளிக்க, சேவையகங்களும் வாடிக்கையாளர்களும் சேனலை செயற்கையாக "சத்தம்" செய்கிறார்கள் (RFC 6520, ப.5), சீரற்ற நீளத்தின் ஒரு பாக்கெட்டை கடத்துகிறது. இது முழு பாக்கெட்டை விட பெரியதாக இருந்தால், OpenSSL இன் பாதிக்கப்படக்கூடிய பதிப்புகள் ஒதுக்கப்பட்ட இடையகத்திற்கு அப்பால் நினைவகத்தைப் படிக்கும். இந்த பகுதியில் தனிப்பட்ட குறியாக்க விசைகள் மற்றும் பிற இணைப்புகள் பற்றிய தகவல்கள் உட்பட எந்த தரவும் இருக்கலாம்.

1.0.1 மற்றும் 1.0.1f உள்ளடங்கிய நூலகத்தின் அனைத்து பதிப்புகளிலும், அதே போல் பல இயக்க முறைமைகளிலும் பாதிப்பு இருந்தது - உபுண்டு 12.04.4 வரை, CentOS 6.5 ஐ விட பழையது, OpenBSD 5.3 மற்றும் பிற. ஒரு முழுமையான பட்டியல் உள்ளது Heartbleedக்கு அர்ப்பணிக்கப்பட்ட இணையதளத்தில். இந்த பாதிப்புக்கு எதிரான திட்டுகள் கண்டுபிடிக்கப்பட்ட உடனேயே வெளியிடப்பட்டாலும், பிரச்சனை இன்றுவரை பொருத்தமானதாகவே உள்ளது. மீண்டும் 2017 இல் கிட்டத்தட்ட 200 ஆயிரம் தளங்கள் வேலை செய்தன, ஹார்ட்பிளீட் பாதிப்புக்குள்ளாகும்.

உங்களை எவ்வாறு பாதுகாத்துக் கொள்வது. இது அவசியம் OpenSSL ஐப் புதுப்பிக்கவும் பதிப்பு 1.0.1g அல்லது அதற்கு மேற்பட்டது வரை. DOPENSSL_NO_HEARTBEATS விருப்பத்தைப் பயன்படுத்தி இதயத் துடிப்பு கோரிக்கைகளை கைமுறையாக முடக்கலாம். புதுப்பித்த பிறகு, தகவல் பாதுகாப்பு நிபுணர்கள் பரிந்துரை SSL சான்றிதழ்களை மீண்டும் வெளியிடவும். குறியாக்க விசைகளில் உள்ள தரவு ஹேக்கர்களின் கைகளில் முடிவடையும் பட்சத்தில் மாற்றீடு தேவைப்படுகிறது.

சான்றிதழ் மாற்று

முறையான SSL சான்றிதழுடன் நிர்வகிக்கப்பட்ட முனையானது, பயனருக்கும் சேவையகத்திற்கும் இடையில் நிறுவப்பட்டு, டிராஃபிக்கைத் தீவிரமாக இடைமறிக்கும். இந்த முனை சரியான சான்றிதழை வழங்குவதன் மூலம் ஒரு முறையான சேவையகத்தைப் போல ஆள்மாறாட்டம் செய்கிறது, மேலும் MITM தாக்குதலைச் செயல்படுத்துவது சாத்தியமாகிறது.

படி ஆய்வு Mozilla, Google மற்றும் பல பல்கலைக்கழகங்களின் குழுக்கள், நெட்வொர்க்கில் உள்ள பாதுகாப்பான இணைப்புகளில் சுமார் 11% ஒட்டுக்கேட்கப்படுகின்றன. பயனர்களின் கணினிகளில் சந்தேகத்திற்கிடமான ரூட் சான்றிதழ்களை நிறுவியதன் விளைவு இதுவாகும்.

உங்களை எவ்வாறு பாதுகாத்துக் கொள்வது. நம்பகமான சேவைகளைப் பயன்படுத்தவும் SSL வழங்குநர்கள். சேவையைப் பயன்படுத்தி சான்றிதழ்களின் "தரத்தை" நீங்கள் சரிபார்க்கலாம் சான்றிதழ் வெளிப்படைத்தன்மை (CT). கிளவுட் வழங்குநர்கள் செவிமடுப்பதைக் கண்டறிய உதவலாம்; சில பெரிய நிறுவனங்கள் ஏற்கனவே TLS இணைப்புகளைக் கண்காணிப்பதற்கான சிறப்புக் கருவிகளை வழங்குகின்றன.

மற்றொரு பாதுகாப்பு முறை புதியதாக இருக்கும் நிலையான ACME, இது SSL சான்றிதழ்களின் ரசீதை தானியங்குபடுத்துகிறது. அதே நேரத்தில், தளத்தின் உரிமையாளரைச் சரிபார்க்க கூடுதல் வழிமுறைகளைச் சேர்க்கும். அதைப் பற்றி மேலும் எங்கள் முந்தைய பொருட்களில் ஒன்றில் எழுதினோம்.

/flickr/ யூரி சமோலோவ் / CC BY

HTTPSக்கான வாய்ப்புகள்

பல பாதிப்புகள் இருந்தபோதிலும், ஐடி ஜாம்பவான்கள் மற்றும் தகவல் பாதுகாப்பு நிபுணர்கள் நெறிமுறையின் எதிர்காலத்தில் நம்பிக்கையுடன் உள்ளனர். HTTPS செயலில் செயல்படுத்துவதற்கு செயல்கள் WWW உருவாக்கியவர் டிம் பெர்னர்ஸ்-லீ. அவரைப் பொறுத்தவரை, காலப்போக்கில் TLS மிகவும் பாதுகாப்பானதாக மாறும், இது இணைப்புகளின் பாதுகாப்பை கணிசமாக மேம்படுத்தும். பெர்னர்ஸ்-லீ கூட அதை பரிந்துரைத்தார் எதிர்காலத்தில் தோன்றும் அடையாள அங்கீகாரத்திற்கான வாடிக்கையாளர் சான்றிதழ்கள். தாக்குபவர்களிடமிருந்து சர்வர் பாதுகாப்பை மேம்படுத்த அவை உதவும்.

இயந்திர கற்றலைப் பயன்படுத்தி SSL/TLS தொழில்நுட்பத்தை உருவாக்கவும் திட்டமிடப்பட்டுள்ளது - தீங்கிழைக்கும் போக்குவரத்தை வடிகட்டுவதற்கு ஸ்மார்ட் அல்காரிதம்கள் பொறுப்பாகும். HTTPS இணைப்புகளுடன், மால்வேர் கோரிக்கைகளைக் கண்டறிவது உட்பட, மறைகுறியாக்கப்பட்ட செய்திகளின் உள்ளடக்கங்களைக் கண்டறிய நிர்வாகிகளுக்கு வழி இல்லை. ஏற்கனவே இன்று, நரம்பியல் நெட்வொர்க்குகள் 90% துல்லியத்துடன் ஆபத்தான பாக்கெட்டுகளை வடிகட்ட முடியும். (விளக்கக்காட்சி ஸ்லைடு 23).

கண்டுபிடிப்புகள்

HTTPS மீதான பெரும்பாலான தாக்குதல்கள் நெறிமுறையில் உள்ள சிக்கல்களுடன் தொடர்புடையவை அல்ல, ஆனால் காலாவதியான குறியாக்க வழிமுறைகளை ஆதரிக்கின்றன. தகவல் தொழில்நுட்பத் துறையானது முந்தைய தலைமுறை நெறிமுறைகளை படிப்படியாகக் கைவிட்டு, பாதிப்புகளைத் தேடுவதற்கான புதிய கருவிகளை வழங்கத் தொடங்கியுள்ளது. எதிர்காலத்தில், இந்த கருவிகள் பெருகிய முறையில் அறிவார்ந்ததாக மாறும்.

தலைப்பில் கூடுதல் இணைப்புகள்:

• மேகக்கணியில் மேம்பாடு, தகவல் பாதுகாப்பு மற்றும் தனிப்பட்ட தரவு: 1கிளவுடில் இருந்து செரிமானம்
• SSL டைஜஸ்ட்: ஹப்ரே மற்றும் பலவற்றில் சிறந்த நடைமுறை பொருட்கள்
• VPN டைஜஸ்ட்: ஹப்ரே மற்றும் பலவற்றைப் பற்றிய அறிமுகக் கட்டுரைகள்

ஆதாரம்: www.habr.com