Como a Internet das Coisas está cada vez mais segura, os criminosos cibernéticos são forçados a pensar em novos métodos de interceptar e roubar dados confidenciais. Eles geralmente se aproveitam das ferramentas de segurança cibernética existentes e tentam enganar os usuários para que confiem neles. Portanto, este artigo o ajudará a descobrir o que é uma tentativa de farejamento de SSL. Ele também mostrará como proteger sua conexão SSL contra isso. Mas, primeiro, vamos definir o que é um proxy de terminação TLS/SSL.
Índice
- O que é um proxy de terminação TLS/SSL?
- O que é o SSL Sniffing?
- Como funciona a detecção de SSL?
- Como evitar a detecção de SSL?
- Como Como evitar a detecção de SSL?
O que é um proxy de terminação TLS/SSL?
Um proxy de terminação TLS/SSL é um servidor proxy usado especialmente por uma entidade para interceptar e manipular conexões TLS/SSL de entrada, descriptografar o TLS/SSL e, em seguida, passar a solicitação não criptografada para um de seus servidores altamente seguros, como o Apache HTTP Server, o Nginx ou o HAProxy.
O objetivo de ter um proxy de terminação TLS/SSL é reduzir a carga nos servidores principais da entidade. Mas antes de implementar esse proxy, a entidade deve garantir que sua rede seja tão segura que não precise criptografar os dados da sessão para seus usuários.
Infelizmente, os criminosos cibernéticos aprenderam a usar os recursos de um proxy de terminação TLS/SSL para detectar conexões SSL seguras. Agora, eles podem interceptar facilmente as mensagens trocadas dentro dela.
O que é o SSL Sniffing?
O sniffing de SSL é um ataque cibernético mal-intencionado quando um proxy de terminação TLS/SSL atua como um proxy MitM que sequestra a conexão SSL segura.
Por que MitM (man-in-the-middle)? Porque um proxy é, por definição, um terceiro “man-in-the-middle”. O proxy se conecta ao servidor e, em seguida, o cliente se conecta ao proxy.
Como funciona a detecção de SSL?
Talvez você já saiba que os certificados SSL impedem ataques MitM. Por que o MitM pode intervir e detectar uma conexão SSL?
A detecção de conexão SSL envolve o proxy MitM atuando como uma autoridade de certificação não confiável. O proxy MitM gera dinamicamente certificados SSL para qualquer nome de host necessário para estabelecer a conexão SSL. Por exemplo, se o navegador quiser se conectar a https://www.mywebsite.com, o proxy MitM gerará um certificado SSL para www.mywebsite.com e o assinará como uma CA independente.
Ao agir deliberadamente como uma CA separada, o proxy MitM mal-intencionado aproveita essa possibilidade e tenta sequestrar uma conexão SSL confiável. Assim, quando o navegador tenta se conectar ao servidor da Web, o proxy MitM intervém emitindo e assinando seu próprio certificado. Portanto, enquanto o proxy MitM recebe o certificado SSL original do servidor, o navegador recebe o certificado SSL falso emitido pelo proxy MitM.
Mas aqui vem a parte crucial de uma tentativa de farejamento de SSL:
O navegador pensa que está se conectando ao servidor, mas na verdade se conecta ao proxy MitM. Aí vem o problema: para que a detecção ocorra, o navegador deve aceitar esse proxy como uma CA genuína e confiável.
Se o usuário ignorar os avisos de segurança e aceitar o certificado SSL falso e a CA do proxy MitM como confiáveis, ele se conectará com êxito ao proxy MitM, iniciará o SSL Sniffing e a conexão SSL se tornará insegura.
Como evitar a detecção de SSL?
Vamos supor que o usuário não tenha instalado nenhum software mal-intencionado. Quando o navegador receber o certificado SSL falso, ele exibirá uma mensagem de segurança avisando os usuários para não confiarem no emissor do certificado SSL e perguntará se devem incluir o certificado de proxy MitM falso em sua lista de certificados confiáveis. Ao rejeitar a solicitação acima, o usuário interrompe a tentativa de detecção de SSL, protegendo com êxito sua conexão SSL segura.
Como evitar a detecção de SSL?
Para evitar a detecção de HTTPS e garantir a confidencialidade e a integridade de suas comunicações protegidas por SSL/TLS, siga estas diretrizes:
- Use as versões mais recentes do protocolo TLS. Certifique-se de usar os protocolos TLS mais recentes (por exemplo, TLS 1.3) e as bibliotecas ou estruturas TLS mais recentes e bem mantidas nos lados do servidor e do cliente. Essas atualizações geralmente incluem aprimoramentos de segurança e correções de vulnerabilidades. Com o tempo, as versões mais antigas de SSL/TLS podem se tornar uma porta dos fundos a ser explorada por um sniffer de SSL. Não deixe que os invasores tenham espaço para manobrar e direcionar seus ataques de detecção de SSL por meio de protocolos desatualizados.
- Implementar o HSTS (Strict Transport Security). O HSTS é um mecanismo de segurança que instrui os navegadores da Web a sempre se conectarem a um site por HTTPS, evitando ataques de downgrade. Ele ajuda a proteger contra ataques de remoção de SSL. Ao ativar o HSTS, você garante que, mesmo que um usuário digite “http://” em vez de “https://”, o navegador mudará automaticamente para uma conexão segura.
- Obtenha certificados de uma autoridade de certificação confiável. Obtenha certificados SSL/TLS de CAs confiáveis. Essas entidades de terceiros validam a identidade do servidor e emitem certificados confiáveis, impedindo que os invasores usem certificados falsos ou autoassinados para interceptar o tráfego. Verifique regularmente a validade do certificado e as datas de expiração, pois um certificado expirado é outra brecha importante que os hackers adoram explorar.
- Implementar a fixação de certificados. A fixação de certificados permite que você especifique quais certificados ou chaves públicas são confiáveis para um determinado domínio. Isso garante que somente os certificados ou chaves esperados sejam aceitos durante o handshake SSL/TLS.
A fixação de certificados impede esses ataques, garantindo que o cliente verifique a identidade do servidor usando apenas o certificado ou a chave especificada. Se um invasor tentar usar um certificado diferente para detectar o tráfego SSL, o cliente o rejeitará, impedindo a interceptação e a descriptografia do tráfego. - Proteja seu dispositivo com um antivírus confiável. Infelizmente, se os invasores invadirem o computador do usuário e instalarem um vírus, o navegador poderá confiar no proxy MitM como uma CA válida. Esse processo geralmente ocorre em segundo plano e é invisível para o usuário. Por esse motivo, é fundamental proteger seu computador com um software antivírus confiável.
Se você tiver um software antivírus protegendo seu computador, seus navegadores da Web o alertarão sobre a Autoridade de Certificação não confiável e seu certificado. Tenha cuidado e não confie em nenhum proxy MitM mal-intencionado. Em caso de dúvida, sempre verifique o certificado SSL e a respectiva autoridade de certificação. Um ataque de SSL Sniffing só é possível devido à ingenuidade dos usuários. Por exemplo, “Vouclicar em OK para finalmente visitar esse site”.
Considerações finais
Lembre-se de que a finalidade de um certificado SSL é proteger a conexão entre você e o servidor da Web. É por isso que você não deve permitir nenhuma intervenção de terceiros. O SSL Sniffing só pode ocorrer se você ignorar os avisos ou tornar seu computador suscetível a vírus e malware. Certifique-se de evitar qualquer uma dessas ocorrências.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
