Премахването на криптирането, предлагано от HTTPS, наречено SSL Strip, е сериозна кибер заплаха за много корпорации, тъй като служителите им са постоянно в движение и изискват достъп до интернет в движение дори чрез отворени незащитени Wi-Fi горещи точки. След като нападателите получат достъп до мрежа, те могат да действат като Man-in-the-Middle (MITM), за да прихванат връзки по мрежата. Тези тактики за прихващане могат да бъдат използвани и срещу кабелни мрежи, при условие че някой получи достъп до Ethernet порт.
Атаката KRACK ефективно демонстрира, че корпоративните потребители не могат да се доверяват сляпо на носителя, който ги свързва с интернет. Той също така илюстрира как криптирането може да бъде напълно премахнато, дори ако сайтът поддържа HTTPS.
Създателят на уязвимостта на SSL лентата е Moxie Marlinspike, известен американски изследовател на компютърната сигурност. През 2009г. той говори за тази опасна слабост на SSL за първи път на събитието за информационна сигурност Black Hat. Според презентацията на Marlinspike, използването на тази уязвимост е много сериозна заплаха за поверителността на нашите цифрови идентификационни данни, тъй като може да се случи в реално време, незабелязано, и да е насочено към каквито и защитени сайтове хората да разглеждат във всеки един момент. Не изисква множество сертификати и след като нападателят свърши „мръсната си работа“, той може да превключи жертвите обратно към нормален трафик.
HTTP и HTTPS са протоколите на приложния слой в TCP/IP модел, както е показано на фигурата по-долу. HTTPS използва защитен тунел за прехвърляне и получаване на данни, който обикновено се нарича SSL/TLS (Secure Socket Layer / Transport Layer Security) и следователно суфиксът „S“ се добавя към HTTPS.
SSL/TLS е защитен протокол, използван за предаване на чувствителна информация. Този протокол се използва при обмен на чувствителни данни, като например банкова информация и имейл кореспонденция. Сигурността на протокола се установява чрез създаване на криптирана връзка между две страни (обикновено клиентско приложение и сървър). Браузърите и уеб сървърите редовно използват този протокол, когато е необходима защитена връзка. В повечето сценарии при установяване на защитена връзка се случват следните събития:
Този процес осигурява разумна гаранция както за поверителност, така и за цялост. С други думи, ние не просто криптираме съобщенията, които изпращаме, ние гарантираме, че съобщението, което получаваме, не е променено по трасето.
За да „съблече“ SSL, нападателят се намесва в пренасочването на HTTP към защитения HTTPS протокол и прихваща заявка от потребителя към сървъра. След това нападателят ще продължи да установява HTTPS връзка между себе си и сървъра и незащитена HTTP връзка с потребителя, действайки като „мост“ между тях.
Как SSL лентата може да измами както браузъра, така и сървъра на уебсайта? SSL Strip се възползва от начина, по който повечето потребители идват на SSL уебсайтове. По-голямата част от посетителите се свързват към страница на уебсайт, която пренасочва чрез пренасочване 302, или пристигат на SSL страница чрез връзка от сайт без SSL. Ако жертвата иска например да купи продукт и напише URL адреса www.buyme.com в адресната лента, браузърът се свързва с машината на нападателя и чака отговор от сървъра. В SSL лента нападателят на свой ред препраща заявката на жертвата към сървъра на онлайн магазина и получава защитената HTTPS страница за плащане. Например https://www.buyme.com. В този момент нападателят има пълен контрол върху защитената страница за плащане. Той го понижава от HTTPS до HTTP и го изпраща обратно в браузъра на жертвата. Браузърът вече е пренасочен към http://www.buyme.com. Отсега нататък всички данни на жертвата ще бъдат прехвърлени в обикновен текстов формат и нападателят ще може да ги прихване. Междувременно сървърът на уебсайта ще смята, че успешно е установил защитена връзка, което наистина е така, но с машината на нападателя, а не с тази на жертвата.
SSL Strip атаките могат да бъдат реализирани по няколко начина. Най-често срещаният метод е чрез създаване на гореща точка и позволяване на жертвите да се свържат с нея. Много нападатели създават фалшиви горещи точки с имена, подобни на законните имена на горещи точки, например „Starbucks Coffee“ вместо „Starbucks“. Без да знае, потребителят се свързва със злонамерената гореща точка. След като потребителят се опита да се свърже със сървъра, нападателят използва своя контрол над горещата точка и атакува потребителя.
След успешното прилагане на SSL strip атака, информацията на жертвата се прехвърля в обикновен текстов формат и може лесно да бъде прихваната от всеки, включително нападателя. Това води до нарушаване на целостта и поверителността на личната информация (PII), като идентификационни данни за вход, банкови сметки, чувствителни бизнес данни и т.н. Следователно заплахата от тази уязвимост е лесно разбираема и може да има различни последици за вашето дигитално присъствие. Вашият бизнес разчита на криптирани комуникации, за да осъществява сигурна транзакция през периферията до крайната точка. Но какво ще стане, ако не можете да се доверите на идентификационните сертификати във всеки край на канала? Без това доверие не можете да участвате в уеб транзакции за електронна търговия и онлайн банкиране, на които вашите потребители сега разчитат, без да се замислят за сигурността.
SSL stripping атаките могат да работят само на уебсайтове, които криптират само своята страница за вход. Следователно уебсайтовете, които използват както HTTP, така и HTTPS в настройката си, са уязвими на SSL stripping атаки. Въпросът, на който трябва да се отговори сега, е следният: какво можем да направим, за да се защитим срещу тази заплаха? Панацея ли е приемането на HTTPS и актуализациите на Chrome?
За да смекчат тази заплаха, финансовите институции и технологичните фирми вече са активирали HTTPS на базата на целия сайт. Активирането на HTTPS криптира връзката между браузър и уебсайта, като по този начин осигурява предаването на чувствителни данни. Следователно е напълно логично банките и високопоставените технологични фирми да активират HTTPS на своите динамични уебсайтове поради транзакцията на важна и чувствителна информация.
Трябва също така да осъзнаем, че е от еднакво значение да активираме HTTPS в статични уебсайтове, дори ако няма транзакции с чувствителни данни. Много корпорации купуват SSL сертификат и конфигурират само страниците, които да се обслужват през HTTPS, които изискват от потребителя да предава лична информация, като екрани за влизане и страници за плащане. Това не е добър начин за работа.
Поради абстрактния характер на интернет връзките хората смятат, че връзката към статичен уебсайт е защитена през HTTP. Трафикът обаче преминава през много точки, за да стигне от вашия браузър до уебсайт. HTTP е несигурен и позволява на всеки да манипулира трафика във всяка точка между лаптоп и уебсайт. Нападателите могат да прихванат много информация, като манипулират трафика на статичен уебсайт, защитен само с HTTP. Някои от тях могат да бъдат относително безвредни, но други злоупотреби са много по-сериозни. Но нито една от тези злоупотреби не е възможна, ако даден сайт е защитен с HTTPS. Ако има някакъв проблем, уеб браузъри като Chrome и Firefox показват съобщение, което предупреждава посетителите, че не могат да проверят TLS сертификата на сайта.
Така че тук е първата полза за организациите. Доверие. Шифроването е като многофакторна сигурност на крайния потребител, но също така означава, че потребителите могат да имат по-голямо доверие в безопасността и автентичността на уебсайта. SSL/TLS е солиден начин да потвърдите колко безопасна е вашата платформа, добавяйки нотка професионализъм към всеки сайт, който я използва.
В допълнение, активирането на HTTPS на базата на целия сайт поддържа съответствие с всички разпоредби за поверителност на данните, като GDPR или NIST SP 800-122. По-специално, GDPR ясно посочва, че организациите трябва да могат да предоставят „достатъчни гаранции за прилагане на подходящи технически и организационни мерки“, за да гарантират, че обработването на лични данни ще бъде в съответствие с GDPR и че правата на субектите на данни са защитени. Това е печеливша ситуация.
Друго (скрито) предимство е SEO класирането на Google. Някои компании харчат много ресурси за SEO, без да осъзнават, че просто активирането на SSL може да даде на сайта им по-високо класиране в Google Търсене. През 2014г., когато браузърите все още стимулираха SSL, вместо да го налагат, Google обяви, че прави HTTPS сигнал в своя алгоритъм за класиране. Експертите изчисляват, че наличието на SSL/TLS може да даде на вашия уебсайт до 5% тласък. Сега нека помислим какво се случва с този сигнал за класиране, след като всички започнат да мигрират към HTTPS. Това се превръща в стандарт и усилването функционално започва да се променя, за да се промени от полза за сайтове, които го имат, до наказание за сайтове, които го нямат. Когато всички се класират с 5% по-високо от вас, вие сте в неизгодно положение.
В допълнение към активирането на HTTPS на базата на целия сайт, корпорациите трябва да претеглят ползите от активирането на HSTS (HTTP Strict Transport Security), което е механизъм на правила за уеб сигурност, който помага да се защитят уебсайтовете срещу SSL stripping атаки и отвличане на бисквитки. Той позволява на уеб сървърите да декларират, че уеб браузърите трябва да взаимодействат с тях, като използват само защитени HTTPS връзки и никога чрез несигурния HTTP протокол.
Когато уеб приложение издаде HSTS политика на потребителски браузъри, съвместимите потребителски браузъри автоматично ще пренасочат всички несигурни HTTP заявки към HTTPS за целевия уебсайт. Освен това, когато нападател тип човек по средата се опита да прихване трафик от жертва, използвайки невалиден сертификат, HSTS не позволява на потребителя да замени предупредителното съобщение за невалиден сертификат. Като имате инсталирана HSTS политика, ще бъде почти невъзможно за нападателите да прихванат каквато и да е информация!
В допълнение към активирането на HTTPS на базата на целия сайт и налагането на политиката за HSTS, корпорациите трябва да активират една последна линия на защита. Те трябва да вземат подходящи предпазни мерки, за да защитят своите SSL/TLS сертификати срещу престъпници, които биха могли да злоупотребят със сертификата. Важна част от този процес включва инвестиране в решение за управление на идентичността на машината като Venafi Trust Protection Platform, което позволява на организациите непрекъснато да наблюдават своите цифрови сертификати за признаци на злоупотреба. Venafi Trust Protection Platform ви дава видимостта, от която се нуждаете, за да блокирате нова порода хакери, които злоупотребяват с ключове и сертификати, за да се скрият във вашия криптиран трафик. Освен това ще разполагате с всичко необходимо, за да действате бързо, когато е необходимо, за да избегнете пробиви или смущения, причинени от изтекли сертификати.
Източник: Venafi
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.