ครึ่งหนึ่งของไซต์
/flickr/
สุนัขพูเดล
เป็นครั้งแรกเกี่ยวกับการโจมตี
สาระสำคัญมีดังนี้: แฮ็กเกอร์บังคับให้ไคลเอนต์เชื่อมต่อผ่าน SSL 3.0 เพื่อจำลองการเชื่อมต่อที่ขาด จากนั้นมันจะค้นหาในการเข้ารหัส
SSL 3.0 เป็นโปรโตคอลที่ล้าสมัย แต่คำถามเรื่องความปลอดภัยของเขายังคงมีความเกี่ยวข้อง ลูกค้าใช้เพื่อหลีกเลี่ยงปัญหาความเข้ากันได้กับเซิร์ฟเวอร์ จากข้อมูลบางส่วนพบว่าเกือบ 7% ของไซต์ยอดนิยม 100 แห่ง
วิธีป้องกันตัวเอง. ในกรณีของ POODLE ดั้งเดิม คุณจะต้องปิดการใช้งานการสนับสนุน SSL 3.0 อย่างไรก็ตาม ในกรณีนี้ อาจมีความเสี่ยงต่อปัญหาความเข้ากันได้ โซลูชันทางเลือกอื่นอาจเป็นกลไก TLS_FALLBACK_SCSV ซึ่งช่วยให้มั่นใจได้ว่าการแลกเปลี่ยนข้อมูลผ่าน SSL 3.0 จะดำเนินการกับระบบรุ่นเก่าเท่านั้น ผู้โจมตีจะไม่สามารถเริ่มต้นดาวน์เกรดโปรโตคอลได้อีกต่อไป วิธีป้องกัน Zombie POODLE และ GOLDENDOODLE คือการปิดใช้งานการสนับสนุน CBC ในแอปพลิเคชันที่ใช้ TLS 1.2 วิธีแก้ปัญหาที่รุนแรงคือการเปลี่ยนไปใช้ TLS 1.3 - โปรโตคอลเวอร์ชันใหม่ไม่ได้ใช้การเข้ารหัส CBC แต่กลับใช้ AES และ ChaCha20 ที่ทนทานมากกว่าแทน
BEAST
หนึ่งในการโจมตีครั้งแรกใน SSL และ TLS 1.0 ที่ถูกค้นพบในปี 2011 เหมือนพุดเดิ้ล บีสท์
ณ วันนี้ ช่องโหว่ของ BEAST ยังคงอยู่
วิธีป้องกันตัวเอง. ผู้โจมตีจำเป็นต้องส่งคำขอเป็นประจำเพื่อถอดรหัสข้อมูล ในวีเอ็มแวร์
จมน้ำตาย
นี่เป็นการโจมตีข้ามโปรโตคอลที่ใช้ประโยชน์จากจุดบกพร่องในการใช้งาน SSLv2 ด้วยคีย์ RSA 40 บิต ผู้โจมตีจะรับฟังการเชื่อมต่อ TLS หลายร้อยรายการของเป้าหมาย และส่งแพ็กเก็ตพิเศษไปยังเซิร์ฟเวอร์ SSLv2 โดยใช้คีย์ส่วนตัวเดียวกัน โดยใช้
DROWN เป็นที่รู้จักครั้งแรกในปี 2016 - จากนั้นมันก็กลายเป็น
วิธีป้องกันตัวเอง. จำเป็นต้องติดตั้งแพตช์ที่เสนอโดยนักพัฒนาไลบรารีการเข้ารหัสที่ปิดใช้งานการสนับสนุน SSLv2 ตัวอย่างเช่น มีการนำเสนอแพตช์ดังกล่าวสองรายการสำหรับ OpenSSL (ในปี 2016
“ทรัพยากรอาจเสี่ยงต่อ DROWN หากคีย์ถูกใช้โดยเซิร์ฟเวอร์บุคคลที่สามที่มี SSLv2 เช่นเมลเซิร์ฟเวอร์” หัวหน้าแผนกพัฒนากล่าว
ผู้ให้บริการ IaaS 1cloud.ru เซอร์เกย์ เบลกิน. — สถานการณ์นี้เกิดขึ้นหากเซิร์ฟเวอร์หลายเครื่องใช้ใบรับรอง SSL ทั่วไป ในกรณีนี้ คุณต้องปิดใช้งานการสนับสนุน SSLv2 บนทุกเครื่อง"
คุณสามารถตรวจสอบว่าระบบของคุณจำเป็นต้องได้รับการอัปเดตโดยใช้คุณลักษณะพิเศษหรือไม่
Heartbleed
หนึ่งในช่องโหว่ที่ใหญ่ที่สุดในซอฟต์แวร์คือ
การโจมตีจะดำเนินการผ่านโมดูลส่วนขยาย Heartbeat TLS ขนาดเล็ก โปรโตคอล TLS กำหนดให้มีการส่งข้อมูลอย่างต่อเนื่อง ในกรณีที่เครื่องหยุดทำงานเป็นเวลานาน จะเกิดการหยุดทำงานและต้องสร้างการเชื่อมต่อใหม่ เพื่อรับมือกับปัญหา เซิร์ฟเวอร์และไคลเอนต์ทำการ "รบกวน" ช่องสัญญาณปลอม (
ช่องโหว่นี้มีอยู่ในไลบรารีทุกเวอร์ชันระหว่าง 1.0.1 ถึง 1.0.1f รวมถึงในระบบปฏิบัติการหลายระบบ เช่น Ubuntu สูงถึง 12.04.4, CentOS ที่เก่ากว่า 6.5, OpenBSD 5.3 และอื่นๆ มีรายการครบถ้วน
วิธีป้องกันตัวเอง. จำเป็น
การทดแทนใบรับรอง
มีการติดตั้งโหนดที่ได้รับการจัดการซึ่งมีใบรับรอง SSL ที่ถูกต้องระหว่างผู้ใช้และเซิร์ฟเวอร์ ซึ่งจะขัดขวางการรับส่งข้อมูล โหนดนี้เลียนแบบเซิร์ฟเวอร์ที่ถูกต้องโดยการแสดงใบรับรองที่ถูกต้อง และเป็นไปได้ที่จะดำเนินการโจมตี MITM
ตามที่
วิธีป้องกันตัวเอง. ใช้บริการที่เชื่อถือได้
วิธีการป้องกันอีกวิธีหนึ่งจะเป็นวิธีการใหม่
/flickr/
อนาคตสำหรับ HTTPS
แม้จะมีช่องโหว่หลายประการ แต่ยักษ์ใหญ่ด้านไอทีและผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลก็มั่นใจในอนาคตของโปรโตคอล สำหรับการนำ HTTPS ไปใช้อย่างแข็งขัน
นอกจากนี้ยังมีการวางแผนที่จะพัฒนาเทคโนโลยี SSL/TLS โดยใช้การเรียนรู้ของเครื่อง - อัลกอริธึมอัจฉริยะจะรับผิดชอบในการกรองการรับส่งข้อมูลที่เป็นอันตราย ด้วยการเชื่อมต่อ HTTPS ผู้ดูแลระบบไม่มีทางค้นหาเนื้อหาของข้อความที่เข้ารหัสได้ รวมถึงการตรวจจับคำขอจากมัลแวร์ ในปัจจุบัน โครงข่ายประสาทเทียมสามารถกรองแพ็กเก็ตที่อาจเป็นอันตรายได้ด้วยความแม่นยำ 90% (
ผลการวิจัย
การโจมตี HTTPS ส่วนใหญ่ไม่เกี่ยวข้องกับปัญหาในตัวโปรโตคอล แต่เพื่อรองรับกลไกการเข้ารหัสที่ล้าสมัย อุตสาหกรรมไอทีเริ่มที่จะค่อยๆ ละทิ้งโปรโตคอลรุ่นก่อนๆ และนำเสนอเครื่องมือใหม่ๆ สำหรับการค้นหาช่องโหว่ ในอนาคตเครื่องมือเหล่านี้จะมีความชาญฉลาดมากขึ้น
ลิงค์เพิ่มเติมในหัวข้อ:
การพัฒนาในระบบคลาวด์ ความปลอดภัยของข้อมูล และข้อมูลส่วนบุคคล: ย่อยจาก 1cloud SSL Digest: วัสดุที่ใช้งานได้จริงที่ดีที่สุดเกี่ยวกับ Habré และอื่นๆ อีกมากมาย สรุป VPN: บทความเบื้องต้นเกี่ยวกับHabréและอีกมากมาย
ที่มา: will.com