Deoarece Internetul lucrurilor devine din ce în ce mai sigur, infractorii cibernetici sunt nevoiți să se gândească la noi metode de interceptare și furt de date sensibile. De obicei, aceștia profită de instrumentele de securitate cibernetică existente și încearcă să înșele utilizatorii să aibă încredere în ele. Prin urmare, acest articol vă va ajuta să aflați ce este o încercare de SSL sniffing. Vă va arăta, de asemenea, cum să vă protejați conexiunea SSL de un asemenea atac. Dar mai întâi, să definim ce este un proxy de terminare TLS/SSL.
Cuprins
- Ce este un proxy de terminare TLS/SSL?
- Ce este SSL Sniffing?
- Cum funcționează SSL Sniffing?
- Cum să evitați SSL Sniffing?
- Cum putem preveni SSL Sniffing?
Ce este un proxy de terminare TLS/SSL?
Un proxy de terminare TLS/SSL este un server proxy care este utilizat în special de o entitate pentru a intercepta și gestiona conexiunile TLS/SSL primite. Proxy-ul de terminare decriptează TLS/SSL și apoi transmite cererea necriptată către unul dintre serverele sale de înaltă securitate, cum ar fi Apache HTTP Server, Nginx sau HAProxy.
Scopul existenței unui proxy de terminare TLS/SSL este de a reduce sarcina pe serverele principale ale entității. Dar înainte de a implementa acest proxy, entitatea trebuie să se asigure că rețeaua sa este atât de sigură încât nu trebuie să cripteze datele de sesiune pentru utilizatorii săi.
Din nefericire, infractorii cibernetici au învățat cum să folosească capacitățile unui proxy de terminare TLS/SSL pentru a adulmeca conexiunile SSL securizate. Aceștia pot acum intercepta cu ușurință mesajele schimbate în cadrul acestuia.
Ce este SSL Sniffing?
SSL Sniffing este un atac cibernetic rău intenționat atunci când un proxy de terminare TLS/SSL acționează ca un proxy MitM care deturnează conexiunea SSL securizată.
De ce MitM (man-in-the-middle)? Deoarece un proxy este, prin definiție, o terță parte de tip man-in-the-middle. Proxy-ul se conectează la server, iar apoi clientul se conectează la proxy.
Cum funcționează SSL Sniffing?
Probabil că știți deja că certificatele SSL previn atacurile MitM. Cum se face că MitM poate interveni și intercepta o conexiune SSL?
Sniffing-ul conexiunii SSL presupune ca proxy-ul MitM să acționeze ca o autoritate de certificare de neîncredere. Proxy-ul MitM generează în mod dinamic certificate SSL pentru orice nume de gazdă necesar pentru stabilirea conexiunii SSL. De exemplu, dacă browserul dorește să se conecteze la https://www.mywebsite.com, proxy-ul MitM va genera un certificat SSL pentru www.mywebsite.com și îl va semna ca o autoritate de certificare indipendentă.
Acționând în mod deliberat ca o autoritate de certificare, proxy-ul MitM malițios profită de această posibilitate și încearcă să deturneze o conexiune SSL de încredere. Astfel, atunci când browserul încearcă să se conecteze la serverul web, proxy-ul MitM intervine prin emiterea și semnarea propriului certificat. Prin urmare, în timp ce proxy-ul MitM primește certificatul SSL original al serverului, browser-ul primește certificatul SSL fals emis de proxy-ul MitM.
Dar, aici intervine partea crucială a unei încercări de SSL Sniffing:
Browserul crede că se conectează la server, dar de fapt se conectează la proxy-ul MitM. Aici e obstacolul: pentru ca sniffing-ul să aibă loc, browserul trebuie să accepte acest proxy ca fiind o CA autentică și de încredere.
Dacă utilizatorul ignoră orice avertismente de securitate și acceptă certificatul SSL fals și autoritatea de certificare proxy MitM ca fiind de încredere, utilizatorul se va conecta cu succes la proxy-ul MitM, va iniția sniffing-ul și conexiunea SSL va deveni nesigură.
Cum să evitați SSL Sniffing?
Să presupunem că utilizatorul nu a instalat niciun software rău intenționat. Atunci când browserul primește certificatul SSL fals, browserul va afișa un mesaj de securitate care îi avertizează pe utilizatori să nu aibă încredere în emitentul certificatului SSL și îi va întreba dacă trebuie să includă certificatul proxy MitM fals în lista sa de certificate de încredere. Prin respingerea solicitării de mai sus, utilizatorul oprește încercarea de falsificare SSL Sniffing, protejându-și cu succes conexiunea SSL securizată.
Cum să preveniți SSL Sniffing?
Pentru a preveni interceptarea trafficului HTTPS și pentru a asigura confidențialitatea și integritatea comunicațiilor dvs. protejate prin SSL/TLS, respectați aceste orientări:
1. Utilizați cele mai recente versiuni ale protocolului TLS
Asigurați-vă că utilizați cele mai recente protocoale TLS (de exemplu, TLS 1.3) și cele mai recente biblioteci sau cadre TLS bine întreținute, atât pe partea serverului, cât și pe partea clientului. Aceste actualizări includ adesea îmbunătățiri de securitate și remedieri de vulnerabilități. Cu timpul, versiunile mai vechi de SSL/TLS ar putea deveni o ușă din dos pe care un hacker o poate exploata. Nu lăsați atacatorilor nicio marjă de manevră și nu le permiteți să își direcționeze atacurile de tip SSL sniffing prin protocoale depășite.
2. Implementarea securității stricte a transportului (HSTS)
HSTS este un mecanism de securitate care instruiește browserele web să se conecteze întotdeauna la un site web prin HTTPS, împiedicând orice atac de downgrade. Ajută la protecția împotriva atacurilor de tip SSL stripping. Prin activarea HSTS, vă asigurați că, chiar dacă un utilizator tastează “http://” în loc de “https://”, browserul va trece automat la o conexiune securizată.
3. Obțineți certificate de la o autoritate de certificare de încredere
Obțineți certificate SSL/TLS de la autorități de certificare de bună reputație. Aceste entități terțe validează identitatea serverului și eliberează certificate de încredere, împiedicând atacatorii să folosească certificate false sau auto-semnate pentru a intercepta traficul. Verificați în mod regulat valabilitatea și data de expirare a certificatelor, deoarece un certificat expirat este o altă portiță importantă pe care hackerii adoră să o exploreze.
4. Implementarea Certificate Pinning
Certificate pinning vă permite să specificați ce certificate sau chei publice sunt de încredere pentru un anumit domeniu. Acest lucru garantează că numai certificatele sau cheile valide sunt acceptate în timpul schimbului de semnături SSL/TLS.
Certificate pinning previne astfel de atacuri, asigurându-se că clientul verifică identitatea serverului folosind numai certificatul sau cheia specificată. Dacă un atacator încearcă să utilizeze un certificat diferit pentru a intercepta traficul SSL, clientul îl va respinge, împiedicând interceptarea și decriptarea traficului.
5. Protejați-vă dispozitivul cu un antivirus fiabil
Din păcate, dacă atacatorii au spart calculatorul utilizatorului și au instalat un virus, browserul poate avea încredere în proxy-ul MitM ca fiind o autoritate de certificare validă. Acest proces are loc de obicei în fundal și este invizibil pentru utilizator. Din acest motiv, este esențial să vă protejați calculatorul cu un software antivirus fiabil.
Dacă aveți un software antivirus care vă protejează calculatorul, atunci browserele web vă vor avertiza cu privire la autoritatea de certificare care nu este de încredere și la certificatul acesteia. Vă rugăm să fiți atenți și să nu aveți încredere în niciun proxy MitM malițios. Verificați întotdeauna certificatul SSL și autoritatea de certificare a acestuia în cazul în care aveți îndoieli. Un atac SSL Sniffing este posibil doar din cauza credulității utilizatorilor. De exemplu, “Voiface clic pe OK pentru a vizita în sfârșit acel site web”.
Concluzie
Rețineți că scopul unui certificat SSL este de a securiza conexiunea dintre dumneavoastră și serverul web. Acesta este motivul pentru care nu trebuie să permiteți intervenții ale terților. SSL Sniffing poate avea loc doar dacă ignorați avertismentele sau dacă vă faceți calculatorul susceptibil la viruși și programe malware. Aveți grijă să evitați oricare dintre aceste situații.
Economisește 10% la certificatele SSL în momentul plasării comenzii!
Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10