27Jul

5 Σοβαρά προβλήματα με την ασφάλεια HTTPS και SSL στον Ιστό

Το

προβλήματα-με-https-και-ssl-κρυπτογράφηση

HTTPS, το οποίο χρησιμοποιεί SSL, παρέχει επαλήθευση ταυτότητας και ασφάλεια, ώστε να γνωρίζετε ότι είστε συνδεδεμένοι με τον σωστό ιστότοπο και κανείς δεν μπορεί να σας υποκλέψει.Αυτή είναι η θεωρία, ούτως ή άλλως.Στην πράξη, το SSL στο διαδίκτυο είναι ένα είδος χάος.

Αυτό δεν σημαίνει ότι η κρυπτογράφηση HTTPS και SSL είναι άχρηστη, καθώς είναι σίγουρα πολύ καλύτερη από τη χρήση μη κρυπτογραφημένων συνδέσεων HTTP.Ακόμη και σε χειρότερο σενάριο, μια συμβιβάσιμη σύνδεση HTTPS θα είναι τόσο ανασφαλής όσο μια σύνδεση HTTP.

Ο πλήρης αριθμός των αρχών πιστοποίησης

Το πρόγραμμα περιήγησής σας διαθέτει μια ενσωματωμένη λίστα αξιόπιστων αρχών πιστοποίησης.Οι φυλλομετρητές εμπιστεύονται μόνο πιστοποιητικά που εκδίδονται από αυτές τις αρχές πιστοποίησης.Εάν επισκεφθήκατε https://example.com, ο διακομιστής ιστού στο example.com θα παρουσιάσει ένα πιστοποιητικό SSL σε εσάς και το πρόγραμμα περιήγησής σας θα ελέγξει για να βεβαιωθεί ότι το πιστοποιητικό SSL του ιστότοπου εκδόθηκε για example.com από μια αξιόπιστη αρχή πιστοποιητικού.Εάν το πιστοποιητικό εκδόθηκε για άλλο τομέα ή εάν δεν εκδόθηκε από αξιόπιστη αρχή πιστοποιητικού, θα δείτε μια σοβαρή προειδοποίηση στο πρόγραμμα περιήγησής σας.

Ένα μεγάλο πρόβλημα είναι ότι υπάρχουν τόσες αρχές πιστοποίησης, επομένως προβλήματα με μία αρχή πιστοποίησης μπορούν να επηρεάσουν όλους.Για παράδειγμα, ενδέχεται να λάβετε ένα πιστοποιητικό SSL για τον τομέα σας από το VeriSign, αλλά κάποιος θα μπορούσε να θέσει σε κίνδυνο ή να εξαπατήσει άλλη αρχή πιστοποίησης και να πάρει επίσης πιστοποιητικό για τον τομέα σας.Οι αρχές πιστοποίησης

αξιόπιστες αρχές πιστοποίησης ρίζας

δεν έχουν πάντα εμπνευστεί από την εμπιστοσύνη

Οι μελέτες έχουν διαπιστώσει ότι ορισμένες αρχές έκδοσης πιστοποιητικών δεν κατάφεραν να κάνουν ελάχιστη δέουσα επιμέλεια κατά την έκδοση πιστοποιητικών.Έχουν εκδώσει πιστοποιητικά SSL για τύπους διευθύνσεων που δεν πρέπει ποτέ να απαιτούν πιστοποιητικό, όπως το "localhost", το οποίο αντιπροσωπεύει πάντα τον τοπικό υπολογιστή.Το 2011, το EFF βρήκε πάνω από 2000 πιστοποιητικά για "localhost" που εκδίδονται από νόμιμες, αξιόπιστες αρχές πιστοποίησης.

Εάν οι αρχές αξιόπιστων πιστοποιητικών έχουν εκδώσει τόσα πολλά πιστοποιητικά χωρίς να επαληθεύσουν ότι οι διευθύνσεις είναι ακόμη έγκυρες, είναι φυσικό να αναρωτιέσαι ποια άλλα λάθη έχουν κάνει.Ίσως έχουν επίσης εκδώσει μη εξουσιοδοτημένα πιστοποιητικά για ιστότοπους άλλων ανθρώπων σε επιτιθέμενους.

πιστοποιητικά εκτεταμένης επικύρωσης ή πιστοποιητικά EV, προσπαθήστε να επιλύσετε αυτό το πρόβλημα.Έχουμε καλύψει τα προβλήματα με πιστοποιητικά SSL και πώς τα πιστοποιητικά EV προσπαθούν να τα λύσουν.Οι αρχές πιστοποίησης

θα μπορούσαν να αναγκαστούν να εκδώσουν πλαστά πιστοποιητικά

Επειδή υπάρχουν τόσες πολλές αρχές πιστοποίησης, είναι όλοι σε όλο τον κόσμο και κάθε αρχή πιστοποίησης μπορεί να εκδώσει πιστοποιητικό για οποιονδήποτε ιστότοπο, οι κυβερνήσεις θα μπορούσαν να αναγκάσουν τις αρχές πιστοποιητικών να τους εκδώσουν πιστοποιητικό SSLγια έναν ιστότοπο που θέλουν να μιμηθούν.

Αυτό πιθανότατα συνέβη πρόσφατα στη Γαλλία, όπου η Google ανακάλυψε ένα πιστοποιητικό ατιμωρησίας για google.com είχε εκδοθεί από τη γαλλική αρχή πιστοποίησης ANSSI.Η εξουσία θα είχε επιτρέψει στη γαλλική κυβέρνηση ή σε όποιον άλλο είχε να υποδύσει στον ιστότοπο της Google, πραγματοποιώντας εύκολα επιθέσεις από τον άνθρωπο στη μέση.Η ANSSI ισχυρίστηκε ότι το πιστοποιητικό χρησιμοποιήθηκε μόνο σε ιδιωτικό δίκτυο για να παρακολουθήσει τους ίδιους τους χρήστες του δικτύου, όχι από τη γαλλική κυβέρνηση.Ακόμα κι αν αυτό ήταν αληθινό, θα ήταν παραβίαση των πολιτικών της ANSSI κατά την έκδοση πιστοποιητικών.Το

google-anssi-απατεώνων-πιστοποιητικό-γαλλία

Perfect Forward Secrecy δεν χρησιμοποιείται παντού

Πολλοί ιστότοποι δεν χρησιμοποιούν την "τέλεια εμπιστευτικότητα μπροστά", μια τεχνική που θα έκανε τη κρυπτογράφηση πιο δύσκολη.Χωρίς την απόλυτη εμπιστευτικότητα, ένας εισβολέας θα μπορούσε να συλλάβει μια μεγάλη ποσότητα κρυπτογραφημένων δεδομένων και να την αποκρυπτογραφήσει με ένα μυστικό κλειδί.Γνωρίζουμε ότι η NSA και άλλες κρατικές υπηρεσίες ασφαλείας σε όλο τον κόσμο συλλαμβάνουν αυτά τα δεδομένα.Εάν ανακαλύψουν το κλειδί κρυπτογράφησης που χρησιμοποιείται από έναν ιστότοπο χρόνια αργότερα, μπορούν να το χρησιμοποιήσουν για να αποκρυπτογραφήσουν όλα τα κρυπτογραφημένα δεδομένα που έχουν συλλέξει μεταξύ αυτού του ιστότοπου και όσων συνδέονται με αυτόν.

Η τέλεια εμπιστευτικότητα μπροστά σας βοηθάει στην προστασία από αυτό, δημιουργώντας ένα μοναδικό κλειδί για κάθε συνεδρία.Με άλλα λόγια, κάθε συνεδρία είναι κρυπτογραφημένη με ένα διαφορετικό μυστικό κλειδί, έτσι ώστε να μην μπορούν να ξεκλειδωθούν όλα με ένα μόνο κλειδί.Αυτό εμποδίζει κάποιον να αποκρυπτογραφεί ένα τεράστιο ποσό κρυπτογραφημένων δεδομένων ταυτόχρονα.Επειδή πολύ λίγες ιστοσελίδες χρησιμοποιούν αυτό το χαρακτηριστικό ασφάλειας, είναι πιθανότερο οι κρατικές υπηρεσίες ασφαλείας να μπορούν να αποκρυπτογραφήσουν όλα αυτά τα δεδομένα στο μέλλον.

Ο άνθρωπος στις μεσαίες επιθέσεις και χαρακτήρες Unicode

Δυστυχώς, οι επιθέσεις "man-in-the-middle" εξακολουθούν να είναι δυνατές με SSL.Θεωρητικά, θα πρέπει να είναι ασφαλές να συνδεθείτε με ένα δημόσιο δίκτυο Wi-Fi και να έχετε πρόσβαση στον ιστότοπο της τράπεζάς σας.Γνωρίζετε ότι η σύνδεση είναι ασφαλής επειδή είναι πάνω από το HTTPS και η σύνδεση HTTPS σας βοηθά επίσης να επαληθεύσετε ότι είστε πραγματικά συνδεδεμένοι με την τράπεζά σας.

Στην πράξη, θα μπορούσε να είναι επικίνδυνο να συνδεθείτε στον ιστότοπο της τράπεζάς σας σε ένα δημόσιο δίκτυο Wi-Fi.Υπάρχουν λύσεις off-the-shelf που μπορούν να έχουν ένα κακόβουλο hotspot να επιτελούν επιθέσεις "άνθρωπος-στη-μέση" σε άτομα που συνδέονται με αυτό.Για παράδειγμα, ένα hotspot Wi-Fi μπορεί να συνδεθεί στην τράπεζα για λογαριασμό σας, αποστέλλοντας δεδομένα παλιότερα και καθισμένα στη μέση.Θα μπορούσε να σας ανακατευθύνει με σιγουριά σε μια σελίδα HTTP και να συνδεθείτε στην τράπεζα με το HTTPS για λογαριασμό σας.

Θα μπορούσε επίσης να χρησιμοποιήσει μια "διεύθυνση HTTPS παρόμοια με ομογραφία". Αυτή είναι μια διεύθυνση που μοιάζει με την οθόνη της τράπεζάς σας στην οθόνη, αλλά χρησιμοποιεί πραγματικά ειδικούς χαρακτήρες Unicode, έτσι ώστε να είναι διαφορετική.Αυτός ο τελευταίος και πιο τρομακτικός τύπος επίθεσης είναι γνωστός ως διεθνοποιημένη επίθεση ομότιμου ονόματος περιοχών.Εξετάστε το σύνολο χαρακτήρων Unicode και θα βρείτε χαρακτήρες που μοιάζουν ουσιαστικά με τους 26 χαρακτήρες που χρησιμοποιούνται στο λατινικό αλφάβητο.Ίσως το o στο google.com με το οποίο είστε συνδεδεμένοι δεν είναι στην πραγματικότητα o, αλλά είναι άλλοι χαρακτήρες.

Το κάλυψαμε αυτό με περισσότερες λεπτομέρειες όταν εξετάσαμε το τους κινδύνους που συνδέονται με τη χρήση ενός δημόσιου σημείου πρόσβασης Wi-Fi.

idn-homograph-επίθεση

Φυσικά, το HTTPS λειτουργεί τις περισσότερες φορές.Είναι απίθανο ότι θα συναντήσετε μια τέτοια έξυπνη επίθεση στο άτομο όταν θα επισκεφθείτε ένα καφέ και θα συνδεθείτε με το Wi-Fi.Το πραγματικό σημείο είναι ότι το HTTPS έχει κάποια σοβαρά προβλήματα.Οι περισσότεροι άνθρωποι το εμπιστεύονται και δεν γνωρίζουν αυτά τα προβλήματα, αλλά δεν είναι σχεδόν τέλεια.Εικόνα πίστωσης

: Sarah Joy