Какво представляват SSL стрипинг атаките?

Премахването на криптирането, предлагано от HTTPS, наречено SSL Strip, е сериозна кибер заплаха за много корпорации, тъй като служителите им са постоянно в движение и изискват достъп до интернет в движение дори чрез отворени незащитени Wi-Fi горещи точки. След като нападателите получат достъп до мрежа, те могат да действат като Man-in-the-Middle (MITM), за да прихванат връзки по мрежата. Тези тактики за прихващане могат да бъдат използвани и срещу кабелни мрежи, при условие че някой получи достъп до Ethernet порт.

Атаката KRACK ефективно демонстрира, че корпоративните потребители не могат да се доверяват сляпо на носителя, който ги свързва с интернет. Той също така илюстрира как криптирането може да бъде напълно премахнато, дори ако сайтът поддържа HTTPS.

Малко история

Създателят на уязвимостта на SSL лентата е Moxie Marlinspike, известен американски изследовател на компютърната сигурност. През 2009г. той говори за тази опасна слабост на SSL за първи път на събитието за информационна сигурност Black Hat. Според презентацията на Marlinspike, използването на тази уязвимост е много сериозна заплаха за поверителността на нашите цифрови идентификационни данни, тъй като може да се случи в реално време, незабелязано, и да е насочено към каквито и защитени сайтове хората да разглеждат във всеки един момент. Не изисква множество сертификати и след като нападателят свърши „мръсната си работа“, той може да превключи жертвите обратно към нормален трафик.

Малко теория

HTTP и HTTPS са протоколите на приложния слой в TCP/IP модел, както е показано на фигурата по-долу. HTTPS използва защитен тунел за прехвърляне и получаване на данни, който обикновено се нарича SSL/TLS (Secure Socket Layer / Transport Layer Security) и следователно суфиксът „S“ се добавя към HTTPS.

ssl-strip-1.png

SSL/TLS е защитен протокол, използван за предаване на чувствителна информация. Този протокол се използва при обмен на чувствителни данни, като например банкова информация и имейл кореспонденция. Сигурността на протокола се установява чрез създаване на криптирана връзка между две страни (обикновено клиентско приложение и сървър). Браузърите и уеб сървърите редовно използват този протокол, когато е необходима защитена връзка. В повечето сценарии при установяване на защитена връзка се случват следните събития:

  • Потребителят изпраща незащитена HTTP заявка.
  • Сървърът отговаря чрез HTTP и пренасочва потребителя към защитен протокол (HTTPS).
  • Потребителят изпраща защитена HTTPS заявка и защитената сесия започва.

Този процес осигурява разумна гаранция както за поверителност, така и за цялост. С други думи, ние не просто криптираме съобщенията, които изпращаме, ние гарантираме, че съобщението, което получаваме, не е променено по трасето.

 

Как работи SSL strip атаката

За да „съблече“ SSL, нападателят се намесва в пренасочването на HTTP към защитения HTTPS протокол и прихваща заявка от потребителя към сървъра. След това нападателят ще продължи да установява HTTPS връзка между себе си и сървъра и незащитена HTTP връзка с потребителя, действайки като „мост“ между тях.

ssl-strip-2.png

 

Как SSL лентата може да измами както браузъра, така и сървъра на уебсайта? SSL Strip се възползва от начина, по който повечето потребители идват на SSL уебсайтове. По-голямата част от посетителите се свързват към страница на уебсайт, която пренасочва чрез пренасочване 302, или пристигат на SSL страница чрез връзка от сайт без SSL. Ако жертвата иска например да купи продукт и напише URL адреса www.buyme.com в адресната лента, браузърът се свързва с машината на нападателя и чака отговор от сървъра. В SSL лента нападателят на свой ред препраща заявката на жертвата към сървъра на онлайн магазина и получава защитената HTTPS страница за плащане. Например https://www.buyme.com. В този момент нападателят има пълен контрол върху защитената страница за плащане. Той го понижава от HTTPS до HTTP и го изпраща обратно в браузъра на жертвата. Браузърът вече е пренасочен към http://www.buyme.com. Отсега нататък всички данни на жертвата ще бъдат прехвърлени в обикновен текстов формат и нападателят ще може да ги прихване. Междувременно сървърът на уебсайта ще смята, че успешно е установил защитена връзка, което наистина е така, но с машината на нападателя, а не с тази на жертвата.

Защо отворените Wi-Fi горещи точки са опасни?

SSL Strip атаките могат да бъдат реализирани по няколко начина. Най-често срещаният метод е чрез създаване на гореща точка и позволяване на жертвите да се свържат с нея. Много нападатели създават фалшиви горещи точки с имена, подобни на законните имена на горещи точки, например „Starbucks Coffee“ вместо „Starbucks“. Без да знае, потребителят се свързва със злонамерената гореща точка. След като потребителят се опита да се свърже със сървъра, нападателят използва своя контрол над горещата точка и атакува потребителя.

ssl-strip-3.png

Каква е заплахата от SSL stripping атаките?

След успешното прилагане на SSL strip атака, информацията на жертвата се прехвърля в обикновен текстов формат и може лесно да бъде прихваната от всеки, включително нападателя. Това води до нарушаване на целостта и поверителността на личната информация (PII), като идентификационни данни за вход, банкови сметки, чувствителни бизнес данни и т.н. Следователно заплахата от тази уязвимост е лесно разбираема и може да има различни последици за вашето дигитално  присъствие. Вашият бизнес разчита на криптирани комуникации, за да осъществява сигурна транзакция през периферията до крайната точка. Но какво ще стане, ако не можете да се доверите на идентификационните сертификати във всеки край на канала? Без това доверие не можете да участвате в уеб транзакции за електронна търговия и онлайн банкиране, на които вашите потребители сега разчитат, без да се замислят за сигурността.

SSL stripping атаките могат да работят само на уебсайтове, които криптират само своята страница за вход. Следователно уебсайтовете, които използват както HTTP, така и HTTPS в настройката си, са уязвими на SSL stripping атаки. Въпросът, на който трябва да се отговори сега, е следният: какво можем да направим, за да се защитим срещу тази заплаха? Панацея ли е приемането на HTTPS и актуализациите на Chrome?

Активирайте SSL за целия сайт на всички уебсайтове

За да смекчат тази заплаха, финансовите институции и технологичните фирми вече са активирали HTTPS на базата на целия сайт. Активирането на HTTPS криптира връзката между браузър и уебсайта, като по този начин осигурява предаването на чувствителни данни. Следователно е напълно логично банките и високопоставените технологични фирми да активират HTTPS на своите динамични уебсайтове поради транзакцията на важна и чувствителна информация.

Трябва също така да осъзнаем, че е от еднакво значение да активираме HTTPS в статични уебсайтове, дори ако няма транзакции с чувствителни данни. Много корпорации купуват SSL сертификат и конфигурират само страниците, които да се обслужват през HTTPS, които изискват от потребителя да предава лична информация, като екрани за влизане и страници за плащане. Това не е добър начин за работа.

Поради абстрактния характер на интернет връзките хората смятат, че връзката към статичен уебсайт е защитена през HTTP. Трафикът обаче преминава през много точки, за да стигне от вашия браузър до уебсайт. HTTP е несигурен и позволява на всеки да манипулира трафика във всяка точка между лаптоп и уебсайт. Нападателите могат да прихванат много информация, като манипулират трафика на статичен уебсайт, защитен само с HTTP. Някои от тях могат да бъдат относително безвредни, но други злоупотреби са много по-сериозни. Но нито една от тези злоупотреби не е възможна, ако даден сайт е защитен с HTTPS. Ако има някакъв проблем, уеб браузъри като Chrome и Firefox показват съобщение, което предупреждава посетителите, че не могат да проверят TLS сертификата на сайта.

Предимства от активирането на SSL в целия сайт

Така че тук е първата полза за организациите. Доверие. Шифроването е като многофакторна  сигурност на крайния потребител, но също така означава, че потребителите могат да имат по-голямо доверие в безопасността и автентичността на уебсайта. SSL/TLS е солиден начин да потвърдите колко безопасна е вашата платформа, добавяйки нотка професионализъм към всеки сайт, който я използва.

В допълнение, активирането на HTTPS на базата на целия сайт поддържа съответствие с всички разпоредби за поверителност на данните, като GDPR или NIST SP 800-122. По-специално, GDPR ясно посочва, че организациите трябва да могат да предоставят „достатъчни гаранции за прилагане на подходящи технически и организационни мерки“, за да гарантират, че обработването на лични данни ще бъде в съответствие с GDPR и че правата на субектите на данни са защитени. Това е печеливша ситуация.

Друго (скрито) предимство е SEO класирането на Google. Някои компании харчат много ресурси за SEO, без да осъзнават, че просто активирането на SSL може да даде на сайта им по-високо класиране в Google Търсене. През 2014г., когато браузърите все още стимулираха SSL, вместо да го налагат, Google обяви, че прави HTTPS сигнал в своя алгоритъм за класиране. Експертите изчисляват, че наличието на SSL/TLS може да даде на вашия уебсайт до 5% тласък. Сега нека помислим какво се случва с този сигнал за класиране, след като всички започнат да мигрират към HTTPS. Това се превръща в стандарт и усилването функционално започва да се променя, за да се промени от полза за сайтове, които го имат, до наказание за сайтове, които го нямат. Когато всички се класират с 5% по-високо от вас, вие сте в неизгодно положение.

Активирайте HSTS

В допълнение към активирането на HTTPS на базата на целия сайт, корпорациите трябва да претеглят ползите от активирането на HSTS (HTTP Strict Transport Security), което е механизъм на правила за уеб сигурност, който помага да се защитят уебсайтовете срещу SSL stripping атаки и отвличане на бисквитки. Той позволява на уеб сървърите да декларират, че уеб браузърите трябва да взаимодействат с тях, като използват само защитени HTTPS връзки и никога чрез несигурния HTTP протокол.

Когато уеб приложение издаде HSTS политика на потребителски браузъри, съвместимите потребителски браузъри автоматично ще пренасочат всички несигурни HTTP заявки към HTTPS за целевия уебсайт. Освен това, когато нападател тип човек по средата се опита да прихване трафик от жертва, използвайки невалиден сертификат, HSTS не позволява на потребителя да замени предупредителното съобщение за невалиден сертификат. Като имате инсталирана HSTS политика, ще бъде почти невъзможно за нападателите да прихванат каквато и да е информация!

Управление на SSL машинни идентичности

В допълнение към активирането на HTTPS на базата на целия сайт и налагането на политиката за HSTS, корпорациите трябва да активират една последна линия на защита. Те трябва да вземат подходящи предпазни мерки, за да защитят своите SSL/TLS сертификати срещу престъпници, които биха могли да злоупотребят със сертификата. Важна част от този процес включва инвестиране в решение за управление на идентичността на машината като Venafi Trust Protection Platform, което позволява на организациите непрекъснато да наблюдават своите цифрови сертификати за признаци на злоупотреба. Venafi Trust Protection Platform ви дава видимостта, от която се нуждаете, за да блокирате нова порода хакери, които злоупотребяват с ключове и сертификати, за да се скрият във вашия криптиран трафик. Освен това ще разполагате с всичко необходимо, за да действате бързо, когато е необходимо, за да избегнете пробиви или смущения, причинени от изтекли сертификати.

Източник: Venafi

 

Източник: По материали от Интернет

Подобни публикации

28 септември 2022

Microsoft ще оттегли правилата за клиентски дос...

Microsoft обяви днес, че ще оттегли правилата за клиентски достъп (...
27 септември 2022

Meta ликвидира руска мрежа, която фалшифицира ...

Meta разкри, че е премахнала широка мрежа от акаунти във Facebook и...
27 септември 2022

Нова кибератака чрез Messenger на Meta

Киберпрестъпниците са неуморни в търсенето на нови и по-сложни изма...
24 септември 2022

Как да изтриете твърд диск в 4 стъпки

Може да си мислите, че кaто изтриете вашите файлове и ги преместите...
24 септември 2022

Рисковано ли е да уволниш CS екипа

Какво, за бога, си мислеха? Това е, което ние – и други експерти по...
23 септември 2022

Путин освободи от мобилизация IT - специалистите

Руското министерство на отбраната публикува списък на сферите, чиит...
22 септември 2022

Изследователи разкриха дългогодишна шпионска к...

Откриха нова вълна от кампания за мобилно наблюдение, насочена към ...
Бъдете социални
Още по темата
24/09/2022

Как да изтриете твърд диск ...

Може да си мислите, че кaто...
22/09/2022

Виртуални частни мрежи - ръ...

Всички правим  това: чакаме да се...
21/09/2022

Защитата на крайната точка ...

За юристите цифровата трансформация също носи...
Последно добавени
28/09/2022

Microsoft ще оттегли правил...

Microsoft обяви днес, че ще оттегли...
27/09/2022

Meta ликвидира руска мрежа...

Meta разкри, че е премахнала широка...
27/09/2022

Нова кибератака чрез Messe...

Киберпрестъпниците са неуморни в търсенето на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!