Нисфи сайтҳо , ва шумораи онхо пай дар пай меафзояд. Протокол хатари боздоштани трафикро коҳиш медиҳад, аммо кӯшиши ҳамлаҳоро аз байн намебарад. Мо дар бораи баъзе аз онҳо - ПУДЛ, ВАЙРОН, ҒАРҚ ва дигарон - ва усулҳои муҳофизат дар маводи худ сӯҳбат хоҳем кард.
/Flickr/ / CC BY-SA
ПУДЛ
Бори аввал дар бораи ҳамла 2014 маълум шуд. Як осебпазириро дар протоколи SSL 3.0 мутахассиси амнияти иттилоотӣ Бодо Моллер ва ҳамкорони Google кашф карданд.
Моҳияти он чунин аст: ҳакер муштариро маҷбур мекунад, ки тавассути SSL 3.0 пайваст шавад, ки ба вайроншавии пайвастшавӣ тақлид мекунад. Он гоҳ он дар рамзгузорӣ ҷустуҷӯ мекунад - режими трафик паёмҳои барчаспҳои махсус. Бо истифода аз як қатор дархостҳои қалбакӣ, ҳамлакунанда метавонад мундариҷаи маълумоти ҷолибро, ба монанди кукиҳоро барқарор кунад.
SSL 3.0 протоколи кӯҳна аст. Аммо масъалаи бехатарии ӯ ҳанӯз ҳам муҳим аст. Мизоҷон онро барои пешгирӣ кардани мушкилоти мутобиқат бо серверҳо истифода мебаранд. Тибқи баъзе маълумот, тақрибан 7% аз 100 ҳазор сайтҳои маъмултарин . Инчунин тағирот ба POODLE, ки ба TLS 1.0 ва TLS 1.1 муосиртар нигаронида шудаанд. Дар ҳамин сол ҳамлаҳои нави Zombie POODLE ва GOLDENDOODLE, ки муҳофизати TLS 1.2-ро мегузаранд (онҳо то ҳол бо рамзгузории CBC алоқаманданд).
Чӣ тавр худро муҳофизат кунед. Дар мавриди POODLE-и аслӣ, шумо бояд дастгирии SSL 3.0-ро хомӯш кунед. Аммо, дар ин ҳолат хатари мушкилоти мутобиқат вуҷуд дорад. Як ҳалли алтернативӣ метавонад механизми TLS_FALLBACK_SCSV бошад - он кафолат медиҳад, ки мубодилаи маълумот тавассути SSL 3.0 танҳо бо системаҳои кӯҳна анҷом дода мешавад. Ҳамлагарон дигар наметавонанд паст кардани сатҳи протоколро оғоз кунанд. Роҳи муҳофизат аз Zombie POODLE ва GOLDENDOODLE ин хомӯш кардани дастгирии CBC дар замимаҳои бар TLS 1.2 аст. Ҳалли асосӣ ин гузариш ба TLS 1.3 хоҳад буд - версияи нави протокол рамзгузории CBC-ро истифода намебарад. Ба ҷои ин, AES ва ChaCha20 устувортар истифода мешаванд.
БЕШТАР
Яке аз аввалин ҳамлаҳо ба SSL ва TLS 1.0, ки соли 2011 кашф шудааст. Мисли ПУДЛ, BEAST хусусиятҳои рамзгузории CBC. Ҳамлагарон дар мошини муштарӣ агенти JavaScript ё апплети Java насб мекунанд, ки ҳангоми интиқоли маълумот тавассути TLS ё SSL паёмҳоро иваз мекунад. Азбаски ҳамлагарон мӯҳтавои бастаҳои "муттаҳид"-ро медонанд, онҳо метавонанд онҳоро барои кушодани шифри вектори оғозсозӣ ва хондани паёмҳои дигар ба сервер, ба монанди кукиҳои аутентификатсия истифода баранд.
То имрӯз, осебпазирии BEAST боқӣ мемонад : Серверҳои прокси ва барномаҳо барои ҳифзи шлюзи интернетии маҳаллӣ.
Чӣ тавр худро муҳофизат кунед. Ба ҳамлакунанда лозим аст, ки дархостҳои мунтазамро барои рамзкушоӣ кардани маълумот фиристад. Дар VMware давомнокии SSLSessionCacheTimeoutро аз панҷ дақиқа (тавсияи пешфарз) то 30 сония кам кунед. Ин равиш барои ҳамлагарон иҷрои нақшаҳои худро мушкилтар мекунад, гарчанде ки он ба кор таъсири манфӣ мерасонад. Илова бар ин, шумо бояд дарк кунед, ки осебпазирии BEAST метавонад ба зудӣ худ аз худ як чизи гузашта гардад - аз соли 2020 бузургтарин браузерҳо дастгирии TLS 1.0 ва 1.1. Дар ҳар сурат, камтар аз 1,5% ҳамаи корбарони браузер бо ин протоколҳо кор мекунанд.
ГАРҚ КАРДАН
Ин як ҳамлаи байнипротоколӣ мебошад, ки хатогиҳоро дар татбиқи SSLv2 бо калидҳои 40-битии RSA истифода мебарад. Ҳамлагар садҳо пайвастҳои TLS-и ҳадафро гӯш мекунад ва бо истифода аз ҳамон калиди хусусӣ бастаҳои махсусро ба сервери SSLv2 мефиристад. Истифодаи , як ҳакер метавонад яке аз тақрибан ҳазор сессияи муштарии TLS-ро рамзкушоӣ кунад.
DROWN бори аввал соли 2016 маълум шуд - баъд маълум шуд дар ҷаҳон. Имрӯз ҳам аҳамияти худро гум накардааст. Аз 150 ҳазор сайтҳои маъмултарин, 2% то ҳол ҳастанд SSLv2 ва механизмҳои рамзгузории осебпазир.
Чӣ тавр худро муҳофизат кунед. Барои насб кардани часпакҳое, ки аз ҷониби таҳиягарони китобхонаҳои криптографӣ пешниҳод шудаанд, ки дастгирии SSLv2-ро хомӯш кардан лозим аст. Масалан, барои OpenSSL ду чунин часпак пешниҳод карда шуд (дар соли 2016 1.0.1с ва 1.0.2г). Инчунин, навсозиҳо ва дастурҳо оид ба хомӯш кардани протоколи осебпазир дар интишор шудаанд , , .
"Манбаъ метавонад ба DROWN осебпазир бошад, агар калидҳои он аз ҷониби сервери тарафи сеюм бо SSLv2, ба монанди сервери почта истифода шаванд", қайд мекунад роҳбари шӯъбаи рушд. Сергей Белкин. — Ин ҳолат дар сурате рух медиҳад, ки якчанд серверҳо сертификати умумии SSL-ро истифода баранд. Дар ин ҳолат, шумо бояд дастгирии SSLv2-ро дар ҳама мошинҳо хомӯш кунед."
Шумо метавонед тафтиш кунед, ки оё системаи шумо бояд бо истифода аз барномаи махсус навсозӣ шавад — онро мутахассисони амнияти иттилоотӣ таҳия кардаанд, ки DROWN-ро кашф кардаанд. Шумо метавонед бештар дар бораи тавсияҳои марбут ба муҳофизат аз ин навъи ҳамла дар .
Хун
Яке аз бузургтарин осебпазирӣ дар нармафзор аст . Он дар соли 2014 дар китобхонаи OpenSSL кашф шудааст. Дар вақти эълони хато, шумораи вебсайтҳои осебпазир - ин тақрибан 17% захираҳои ҳифзшуда дар шабака аст.
Ҳамла тавассути модули васеъкунии хурди Heartbeat TLS амалӣ карда мешавад. Протоколи TLS талаб мекунад, ки маълумот пайваста интиқол дода шавад. Дар сурати дурудароз бекор истодан, танаффус ба амал меояд ва пайвастшавиро аз нав баркарор кардан лозим меояд. Барои ҳалли мушкилот серверҳо ва мизоҷон каналро ба таври сунъӣ «сағ» мекунанд (), интиқоли бастаи дарозии тасодуфӣ. Агар он аз тамоми баста калонтар бошад, пас версияҳои осебпазири OpenSSL хотираи берун аз буфери ҷудошударо мехонанд. Ин минтақа метавонад ҳама гуна маълумот, аз ҷумла калидҳои рамзгузории хусусӣ ва маълумот дар бораи пайвастҳои дигарро дар бар гирад.
Ин осебпазирӣ дар ҳама версияҳои китобхона дар байни 1.0.1 ва 1.0.1f, инчунин дар як қатор системаҳои оператсионӣ мавҷуд буд - Ubuntu то 12.04.4, CentOS аз 6.5 калонтар, OpenBSD 5.3 ва ғайра. Рӯйхати пурра вуҷуд дорад . Ҳарчанд часпакҳо бар зидди ин осебпазирӣ қариб дарҳол пас аз кашфи он бароварда шуданд, мушкилот то имрӯз аҳамияти худро дорад. Бозгашт дар соли 2017 , ҳассос ба хунрезии дил.
Чӣ тавр худро муҳофизат кунед. Ин зарур аст то версияи 1.0.1g ё баландтар. Шумо инчунин метавонед дархостҳои Heartbeat-ро бо истифода аз опсияи DOPENSSL_NO_HEARTBEATS дастӣ хомӯш кунед. Пас аз навсозӣ, мутахассисони амнияти иттилоотӣ шаҳодатномаҳои SSL дубора нашр кунед. Иваз кардан лозим аст, агар маълумот дар калидҳои рамзгузорӣ ба дасти ҳакерҳо бирасад.
Иваз кардани сертификат
Дар байни корбар ва сервер гиреҳи идорашаванда бо сертификати қонунии SSL насб карда мешавад, ки трафикро фаъол мекунад. Ин гиреҳ тавассути пешниҳоди шаҳодатномаи дуруст ба сервери қонунӣ тақлид мекунад ва имкони анҷом додани ҳамлаи MITM мегардад.
Мувофиқи маълумот Гурӯҳҳои Mozilla, Google ва як қатор донишгоҳҳо, тақрибан 11% пайвастҳои бехатар дар шабака гӯш карда мешаванд. Ин натиҷаи насби шаҳодатномаҳои решаи шубҳанок дар компютерҳои корбарон аст.
Чӣ тавр худро муҳофизат кунед. Аз хидматҳои боэътимод истифода баред . Шумо метавонед бо истифода аз хидмат “сифат”-и сертификатҳоро тафтиш кунед (CT). Провайдерҳои абрӣ инчунин метавонанд дар ошкор кардани гӯш кардани гӯшҳо кӯмак расонанд; баъзе ширкатҳои бузург аллакай асбобҳои махсусро барои мониторинги пайвастҳои TLS пешниҳод мекунанд.
Усули дигари муҳофизат як нав хоҳад буд ACME, ки гирифтани сертификатҳои SSL-ро автоматӣ мекунад. Ҳамзамон, он механизмҳои иловагӣ барои тасдиқи соҳиби сайтро илова мекунад. Бештар дар бораи он .
/Flickr/ / CC BY
Дурнамои HTTPS
Сарфи назар аз як қатор осебпазириҳо, бузургони IT ва коршиносони амнияти иттилоотӣ ба ояндаи протокол итминон доранд. Барои татбиқи фаъоли HTTPS Созандаи WWW Тим Бернерс-Ли. Ба гуфтаи ӯ, бо мурури замон TLS амнтар мешавад, ки ин амнияти пайвастҳоро ба таври қобили мулоҳиза беҳтар мекунад. Бернерс-Ли ҳатто инро пешниҳод кард сертификатҳои муштарӣ барои тасдиқи шахсият. Онҳо барои беҳтар кардани муҳофизати сервер аз ҳамлагарон кӯмак хоҳанд кард.
Ҳамчунин таҳияи технологияи SSL/TLS бо истифода аз омӯзиши мошинсозӣ ба нақша гирифта шудааст - алгоритмҳои интеллектуалӣ барои филтр кардани трафики зараровар масъул хоҳанд буд. Бо пайвастҳои HTTPS, маъмурон ҳеҷ роҳе барои дарёфти мундариҷаи паёмҳои рамзгузоришуда, аз ҷумла ошкор кардани дархостҳо аз нармафзори зараровар надоранд. Аллакай имрӯз шабакаҳои нейрон қодиранд бастаҳои эҳтимолан хатарнокро бо дақиқии 90% филтр кунанд. ().
натиҷаҳои
Аксари ҳамлаҳо ба HTTPS на бо мушкилот бо худи протокол, балки барои дастгирии механизмҳои рамзгузории кӯҳна алоқаманданд. Саноати IT тадриҷан даст кашидан аз протоколҳои насли қаблиро оғоз мекунад ва воситаҳои навро барои ҷустуҷӯи осебпазирӣ пешниҳод мекунад. Дар оянда ин асбобҳо торафт бештар интеллектуалӣ хоҳанд шуд.
Истинодҳои иловагӣ дар мавзӯъ:
Манбаъ: will.com