O que é um ataque de remoção de SSL e como evitá-lo

Desde que foram introduzidos no mercado comercial, os certificados SSL passaram por vários aprimoramentos de segurança e agora apresentam um nível de criptografia quase inquebrável. No entanto, os aprimoramentos contínuos do SSL não desencorajaram os invasores cínicos a tentar roubar os dados criptografados.

Mesmo com medidas de segurança robustas, uma ameaça cibernética conhecida como SSL stripping paira sobre a Web, procurando vulnerabilidades de segurança e brechas na configuração de HTTPS, pronta para atacar ao primeiro descuido. Este artigo explica o que é um ataque de remoção de SSL, por que ele é perigoso e como você pode detectar e impedir que ataques de remoção de SSL ameacem seu site e sua empresa.


Índice

  1. O que é SSL Stripping?
  2. Como funciona o SSL Stripping?
  3. Quais são os tipos de remoção de SSL?
  4. Por que a faixa SSL é tão perigosa?
  5. Como detectar o SSL Stripping?
  6. Como evitar o SSL Stripping?

O que é SSL Stripping?

A remoção de SSL é um ataque cibernético que tem como alvo a comunicação segura entre um usuário e um site. Ele aproveita o fato de que a maioria dos sites e serviços on-line usa a criptografia SSL/TLS para proteger as informações confidenciais transmitidas pela Internet. Um ataque de faixa SSL rebaixa uma conexão HTTPS segura para uma conexão HTTP não segura, tornando mais fácil para os ladrões cibernéticos interceptar e manipular os dados em trânsito entre um servidor da Web e um cliente.


Como funciona o SSL Stripping?

Em 2009, Moxie Marlinspike, um conhecido pesquisador americano de segurança de computadores que defende o uso generalizado de criptografia forte e PET (Privacy Enhancing Technologies), falou sobre a faixa SSL pela primeira vez no evento de segurança da informação Black Hat.

Para entender melhor como funcionam os ataques de remoção de SSL, vamos considerar um cenário em que um usuário deseja acessar um site via HTTPS. O navegador da Web do usuário inicia a conexão solicitando um certificado SSL ao site. Se o certificado SSL do site for válido, o navegador confiará nele e permitirá que os visitantes acessem a página da Web.

No entanto, em um ataque de remoção de SSL, o invasor atua como um homem no meio, interceptando a solicitação inicial e rebaixando a conexão para HTTP antes de chegar ao site. Como resultado, o navegador não tem conhecimento do ataque e permite que o hacker intercepte, leia e modifique todos os dados transmitidos entre o usuário e o site.

O invasor se posiciona entre o usuário e o site por vários meios, como um ponto de acesso Wi-Fi desonesto ou um dispositivo de rede comprometido. Em seguida, eles modificam a resposta do site, removendo todas as referências a HTTPS e substituindo-as por HTTP.

Além disso, eles podem remover links seguros, redirecionamentos ou outros elementos que reforçam o HTTPS.

Como o navegador do usuário agora pensa que o site está usando HTTP, todas as solicitações subsequentes feitas pelo usuário, como o envio de credenciais de login ou informações confidenciais, serão enviadas por uma conexão insegura.


Quais são os tipos de remoção de SSL?

Existem dois tipos comuns de ataques de remoção de SSL: passivo e ativo. Vamos nos aprofundar em detalhes mais técnicos e explorar cada ataque.

Remoção passiva de SSL

Em um ataque passivo de remoção de SSL, o invasor intercepta a comunicação entre o usuário e o site sem modificar nenhum dado. Aqui está um detalhamento do processo:

  1. O usuário inicia uma conexão com o site usando HTTPS, mas o invasor intercepta essa conexão.
  2. Em seguida, o hacker realiza um ataque de downgrade de SSL manipulando os cabeçalhos de resposta enviados de volta ao navegador do usuário.
  3. Quando a conexão é reduzida, o invasor pode interceptar e visualizar toda a comunicação entre o usuário e o site.
  4. O invasor coleta silenciosamente os dados interceptados para fins maliciosos, como roubo de identidade, comprometimento da conta ou acesso não autorizado a recursos confidenciais.

Remoção ativa de SSL

Os ataques de remoção ativa de SSL vão um passo além, não apenas rebaixando a conexão para HTTP, mas também modificando o conteúdo das páginas da Web trocadas entre o usuário e o site. Aqui está uma explicação mais detalhada:

  1. O invasor intercepta a conexão HTTPS do usuário e faz o downgrade para HTTP, semelhante à remoção passiva de SSL.
  2. Na remoção ativa de SSL, o hacker altera ativamente o conteúdo das páginas da Web trocadas entre o usuário e o site. Eles podem usar várias técnicas, como:
  • Alteração de links: O invasor modifica os links na página da Web para apontar para URLs HTTP inseguros em vez de URLs HTTPS seguros.
  • Injeção de código mal-intencionado: O invasor pode inserir código JavaScript ou HTML malicioso na página da Web para capturar a entrada do usuário ou roubar dados confidenciais.
  • Redirecionamento do usuário: O invasor pode redirecionar o usuário para um site falso que imita o site legítimo – um ataque clássico de phishing com consequências potencialmente terríveis.

Os ataques ativos de remoção de SSL são mais perigosos do que os ataques passivos, pois envolvem manipulação de conteúdo e podem levar à exploração adicional e ao comprometimento das informações do usuário.


Por que a faixa SSL é tão perigosa?

O SSL Strip redireciona todo o tráfego proveniente do computador da vítima para um proxy criado pelo invasor. Agora, vamos nos colocar no lugar do agressor. Criamos uma conexão entre a vítima e nosso servidor proxy. Ele pode interceptar todo o tráfego que flui para nós. Sem usar a faixa SSL, simplesmente receberíamos os dados criptografados, que não poderíamos decodificar.

Mas as coisas mudam drasticamente quando adicionamos a SSL Strip à mistura. Se alguém se conectar ao nosso servidor proxy, com o Strip em execução em segundo plano, a vítima não receberá nenhum alerta do navegador sobre o erro do certificado SSL. Eles não terão nenhuma suspeita de que um ataque real esteja ocorrendo. Então, como a faixa SSL pode enganar tanto o navegador quanto o servidor do site?

A Strip aproveita a maneira como a maioria dos usuários chega aos sites SSL. A maioria dos visitantes se conecta à página de um site que redireciona (por exemplo, os redirecionamentos 302) ou chega a uma página SSL por meio de um link de um site não SSL. Se a vítima quiser, por exemplo, comprar um produto digital e digitar o seguinte URL na barra de endereços www.somedigitalproduct.com, o navegador se conectará ao computador do invasor e aguardará uma resposta do servidor. O invasor, por sua vez, encaminha a solicitação da vítima para o servidor da loja on-line e recebe a página de pagamento HTTPS segura. Por exemplo, https://www.somedigitalproduct.com.

Nesse ponto, o invasor tem controle total sobre a página de pagamento seguro. Ele faz o downgrade de HTTPS para HTTP e o envia de volta ao navegador da vítima. O navegador agora é redirecionado para http://www.somedigitalproduct.com. De agora em diante, todos os dados da vítima serão transferidos em formato de texto simples, e o invasor poderá interceptá-los. Enquanto isso, o servidor do site achará que estabeleceu uma conexão segura com sucesso. De fato, ele fez isso, mas com a máquina do atacante, não com a da vítima.


Como detectar o SSL Stripping?

Embora a detecção de ataques de remoção de SSL possa ser um desafio, há vários indicadores que você pode observar. Aqui estão cinco sinais que podem ajudar a detectar a remoção da SSL.

  1. Símbolo de cadeado ausente: Normalmente, quando você visita um site seguro, seu navegador exibe um símbolo de cadeado na barra de endereços, próximo ao URL do site. Se o símbolo do cadeado estiver ausente ou for substituído por um ícone de aviso, isso pode indicar que a conexão agora é por HTTP, e pode ocorrer a remoção do SSL.
  2. URL inconsistente: Preste atenção ao URL do site. Quando você carrega inicialmente um site seguro por HTTPS, o URL começa com “https://”. Se, em algum momento durante sua interação com o site, o URL mudar para “http://” em vez de permanecer como “https://”, isso sugere que a conexão foi rebaixada e que a remoção do SSL pode estar em andamento.
  3. Mensagens de aviso do navegador: Os navegadores modernos geralmente exibem mensagens de aviso quando há problemas de segurança. Se o seu navegador indicar que o certificado de segurança do site é inválido ou que a conexão não é segura, você deve sair do site.
  4. Avisos de conteúdo misto: Os sites seguros (HTTPS) não devem carregar nenhum conteúdo, como imagens ou scripts, de fontes inseguras (HTTP). Se o navegador exibir avisos sobre “conteúdo misto”, isso sugere que a conexão segura pode ter sido adulterada, o que pode indicar um ataque de remoção de SSL.
  5. Comportamento inesperado: Se você notar um comportamento incomum em um site, como falta de funcionalidade, imagens quebradas ou elementos de página inconsistentes, isso também pode ser um sinal de um ataque de remoção de SSL. Os invasores podem modificar o conteúdo ou injetar código malicioso, levando a um comportamento inesperado do site.

É importante observar que esses indicadores não são infalíveis e nem sempre podem indicar um ataque MitM ou uma faixa SSL. No entanto, se você encontrar qualquer um desses sinais, é aconselhável ter cautela e considerar a possibilidade de um ataque em andamento.


Como evitar o SSL Stripping?

A prevenção da remoção de SSL requer uma abordagem em várias camadas. Em primeiro lugar, os proprietários de sites devem impor conexões HTTPS por padrão, implementando o HTTP Strict Transport Security (HSTS), que instrui o navegador do usuário a se comunicar com o site somente por meio de conexões HTTPS seguras. Além disso, os proprietários de sites devem renovar o certificado SSL dentro do prazo e empregar os protocolos criptográficos e algoritmos de criptografia mais recentes.

Do ponto de vista do usuário, é fundamental estar atento e verificar a segurança dos sites antes de compartilhar informações confidenciais. Os usuários devem procurar o símbolo do cadeado, verificar se há o prefixo “https” no URL e ter cuidado ao inserir credenciais de login ou fazer transações on-line em sites desconhecidos ou suspeitos. O uso de uma VPN (Virtual Private Network) confiável também pode ajudar a proteger contra ataques de SSL stripping, criptografando todo o tráfego da Internet e impedindo a interceptação por possíveis invasores.


Conclusão

Apesar dos avanços na criptografia SSL/TLS, os invasores continuam a explorar vulnerabilidades e brechas para fazer o downgrade de conexões HTTPS seguras para conexões HTTP inseguras. A detecção de ataques de remoção de SSL agora é mais fácil porque todos os navegadores modernos sinalizam os sites HTTP como inseguros e incentivam os usuários a não usá-los. Mantendo-se informados, implementando medidas de segurança robustas e sendo proativos na detecção e prevenção de tais ataques, indivíduos e empresas podem garantir interações on-line mais seguras.

Perguntas frequentes

Que tipo de ataque é o SSL Stripping?

A remoção de SSL é um tipo de ataque man-in-the-middle que tem como alvo a comunicação segura entre um usuário e um site, rebaixando a conexão HTTPS segura para uma conexão HTTP não segura.

Copiar link

O que é um exemplo de remoção de SSL?

Em uma cafeteria que usa Wi-Fi público, um invasor realiza um ataque de remoção de SSL interceptando e rebaixando a conexão HTTPS segura de um usuário para uma conexão HTTP não segura, permitindo que ele capture dados confidenciais, como credenciais de login, e obtenha acesso não autorizado a contas on-line.

Copiar link

O SSL Stripping é um ataque de downgrade?

Sim, a remoção de SSL pode ser considerada um tipo de ataque de downgrade. Ele faz o downgrade da conexão HTTPS para o protocolo HTTP vulnerável, em que os dados são transmitidos em texto simples. Como resultado, os invasores podem interceptar e decifrar as informações em trânsito.

Copiar link

O SSL Stripping é um ataque MitM?

Sim, a remoção de SSL é uma forma de ataque MitM. O invasor se posiciona entre o usuário e o site, interceptando a comunicação e manipulando o tráfego, o que compromete a segurança e a privacidade de dados confidenciais.

Copiar link

O SSL Stripping funciona em TLS?

Sim, a remoção de SSL pode funcionar no TLS (Transport Layer Security), o sucessor do SSL (Secure Sockets Layer). Embora o nome se refira ao SSL, os invasores podem usar a técnica para remover a segurança das conexões SSL e TLS, pois o princípio subjacente de rebaixamento da conexão permanece o mesmo.

Copiar link

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.