Ce este un atac SSL Stripping și cum îl puteți preveni?

Ultima actualizare pe de Dionisie Gitlan
SSL Stripping Attack

De la introducerea lor pe piața comercială, certificatele SSL au fost supuse mai multor îmbunătățiri de securitate și acum oferă un nivel de criptare aproape imposibil de spart. Cu toate acestea, îmbunătățirile continue ale SSL nu au descurajat atacatorii să încerce să fure datele criptate.

Chiar și cu măsuri de securitate sporite, o amenințare cibernetică cunoscută sub numele de SSL stripping planează asupra web-ului, căutând vulnerabilitățile de securitate și lacunele din configurația HTTPS, gata să lovească la prima breșă. Acest articol explică ce este un atac de tip SSL stripping, de ce este periculos și cum puteți detecta și împiedica atacurile de tip SSL stripping.

Cuprins

  1. Ce este SSL Stripping?
  2. Cum funcționează SSL Stripping?
  3. Care sunt tipurile de SSL Stripping?
  4. De ce SSL Strip este atât de periculos?
  5. Cum se detectează SSL Stripping?
  6. Cum să preveniți SSL Stripping?
  7. Concluzie

Ce este SSL Stripping?

SSL stripping este un atac cibernetic care vizează comunicarea securizată între un utilizator și un site web. Acesta profită de faptul că majoritatea site-urilor web și a serviciilor online utilizează criptarea SSL/TLS pentru a proteja informațiile sensibile transmise pe internet. Un atac de tip “SSL strip” transformă o conexiune HTTPS securizată într-o conexiune HTTP nesecurizată, facilitând astfel interceptarea și manipularea datelor în tranzit între un server web și un client de către hoții cibernetici.

Cum funcționează SSL Stripping?

În 2009, Moxie Marlinspike, un cunoscut cercetător american în domeniul securității informatice care susține utilizarea pe scară largă a criptografiei puternice și a tehnologiilor de îmbunătățire a confidențialității (PET), a vorbit pentru prima dată despre SSL strip în cadrul evenimentului Black Hat privind securitatea informațiilor.

Pentru a înțelege mai bine cum funcționează atacurile de tip SSL stripping, să luăm în considerare un scenariu în care un utilizator dorește să acceseze un site web prin HTTPS. Browserul web al utilizatorului inițiază conexiunea prin solicitarea unui certificat SSL de la site-ul web. Dacă certificatul SSL al site-ului este valid, browserul va avea încredere în el și va permite vizitatorilor să acceseze pagina web.

Cu toate acestea, în cazul unui atac SSL stripping, atacatorul acționează ca un om la mijloc, interceptând cererea inițială și retrogradând conexiunea la HTTP înainte ca aceasta să ajungă pe site-ul web. Ca urmare, browserul nu este conștient de atac și permite hackerului să intercepteze, să citească și să modifice orice date transmise între utilizator și site-ul web.

Atacatorul se poziționează între utilizator și site-ul web prin diverse mijloace, cum ar fi un hotspot Wi-Fi sau un dispozitiv de rețea compromis. Apoi modifică răspunsul de pe site-ul web, eliminând orice referință la HTTPS și înlocuindu-le cu HTTP.

În plus, poate elimina linkurile securizate, redirecționările sau alte elemente care impun HTTPS.

Deoarece browserul utilizatorului crede acum că site-ul web folosește HTTP, orice cerere ulterioară făcută de utilizator, cum ar fi trimiterea credențialelor de autentificare sau a informațiilor sensibile, va fi trimisă printr-o conexiune nesigură.

Care sunt tipurile de SSL Stripping?

Există două tipuri obișnuite de atacuri SSL stripping: pasive și active. Să intrăm în detalii mai tehnice și să analizăm fiecare atac.

SSL stripping pasiv

În cazul unui atac de tip SSL stripping pasiv, atacatorul interceptează comunicarea dintre utilizator și site-ul web fără a modifica datele. Iată cum decurge procesul:

  1. Utilizatorul inițiază o conexiune la site-ul web folosind HTTPS, dar atacatorul interceptează această conexiune.
  2. Hackerul efectuează apoi un atac de retrogradare SSL prin manipularea antetelor de răspuns trimise înapoi către browserul utilizatorului.
  3. Odată ce conexiunea este retrogradată, atacatorul poate intercepta și vizualiza întreaga comunicare dintre utilizator și site-ul web.
  4. Atacatorul colectează în tăcere datele interceptate în scopuri rău intenționate, cum ar fi furtul de identitate, compromiterea contului sau accesul neautorizat la resurse sensibile.

SSL stripping activ

Atacurile de tip SSL stripping active, nu doar retrogradează conexiunea la HTTP, ci și modifică conținutul paginilor web accesate de utilizator. Iată o explicație mai detaliată:

  1. Atacatorul interceptează conexiunea HTTPS a utilizatorului și o retrogradează la HTTP, similar cu SSL stripping-ul pasiv.
  2. În cazul unui SSL stripping activ, hackerul modifică în mod activ conținutul paginilor web schimbate între utilizator și site-ul web. Acesta poate folosi diverse tehnici, cum ar fi:
  • Modificarea link-urilor: Atacatorul modifică linkurile din pagina web pentru a indica URL-uri HTTP nesigure în loc de URL-uri HTTPS sigure.
  • Injectarea de cod malițios: Atacatorul poate insera JavaScript sau cod HTML rău intenționat în pagina web pentru a capta datele introduse de utilizator sau pentru a fura date sensibile.
  • Redirecționarea utilizatorului: Atacatorul poate redirecționa utilizatorul către un site web fals care îl imită pe cel legitim – un atac clasic de phishing cu consecințe potențial grave.

Atacurile active de eliminare a SSL sunt mai periculoase decât cele pasive, deoarece implică manipularea conținutului și pot duce la o exploatare suplimentară și la compromiterea informațiilor utilizatorului.

De ce SSL Strip este atât de periculos?

SSL Strip redirecționează tot traficul provenit de pe calculatorul victimei către un proxy creat de atacator. Acum, să ne punem în locul atacatorului. Am creat o conexiune între victimă și serverul nostru proxy. Acesta poate intercepta tot traficul care vine spre noi. Fără SSL strip, vom primi pur și simplu datele criptate, pe care nu le vom putea decoda.

Dar lucrurile se schimbă radical odată ce adăugăm SSL strip in ecuație. Dacă cineva se conectează la serverul nostru proxy, cu Strip rulând în fundal, victima nu va primi nicio alertă din browser cu privire la eroarea certificatului SSL. Ei nu vor avea nicio suspiciune că are loc un atac real. Deci, cum poate SSL strip să păcălească atât browserul, cât și serverul site-ului web?

Strip-ul profită de modul în care majoritatea utilizatorilor accesează site-urile SSL. Majoritatea vizitatorilor se conectează la pagina unui site web care se redirecționează (ex: redirecționările 302) sau ajung pe o pagină SSL printr-un link de pe un site non-SSL. Dacă victima dorește, de exemplu, să cumpere un produs digital și tastează următorul URL în bara de adrese www.somedigitalproduct.com, browserul se conectează la calculatorul atacatorului și așteaptă un răspuns de la server. Atacatorul, la rândul său, transmite cererea victimei către serverul magazinului online și primește pagina de plată securizată HTTPS. De exemplu, https://www.somedigitalproduct.com.

În acest moment, atacatorul deține controlul complet asupra paginii de plată securizată. Acesta o retrogradează de la HTTPS la HTTP și o trimite înapoi la browserul victimei. Browserul este acum redirecționat către http://www.somedigitalproduct.com. De acum încolo, toate datele victimei vor fi transferate înformat text simplu, iar atacatorul va putea să le intercepteze. Între timp, serverul site-ului web va crede că a stabilit cu succes o conexiune securizată. Într-adevăr, a făcut acest lucru, dar cu dispozitivul atacatorului, nu cu cel a victimei.

Cum se detectează SSL Stripping?

Deși detectarea atacurilor de tip SSL stripping poate fi dificilă, există mai mulți indicatori pe care îi puteți urmări. Iată cinci semne care vă pot ajuta să detectați un atac SSL stripping.

  1. Lipsește simbolul lacătului: De obicei, atunci când vizitați un site web securizat, browserul dvs. afișează un simbol de lacăt în bara de adrese lângă URL-ul site-ului. În cazul în care simbolul lacătului lipsește sau este înlocuit cu o pictogramă de avertizare, acest lucru ar putea indica faptul că conexiunea se face acum prin HTTP și că este posibil să apară o dezactivare SSL.
  2. URL necorespunzător: Fiți atenți la adresa URL a site-ului web. Atunci când încărcați inițial un site web securizat prin HTTPS, URL-ul începe cu “https://”. Dacă, în orice moment în timpul interacțiunii cu site-ul web, URL-ul se schimbă în “http://” în loc să rămână “https://”, acest lucru sugerează că conexiunea a fost retrogradată și că este posibil să fie în curs de eliminare a SSL.
  3. Mesaje de avertizare din browser: Browserele moderne afișează adesea mesaje de avertizare atunci când există probleme de securitate. Dacă browserul dvs. indică faptul că certificatul de securitate al site-ului web nu este valid sau că conexiunea nu este sigură, trebuie să părăsiți site-ul.
  4. Avertismente privind conținutul mixt: Site-urile web securizate (HTTPS) nu ar trebui să încarce niciun conținut, cum ar fi imagini sau scripturi, din surse nesigure (HTTP). În cazul în care browserul dvs. afișează avertismente privind “conținut mixt”, e posibil ca conexiunea securizată să fi fost modificată, ceea ce poate indica un atac de tip SSL stripping.
  5. Comportament neașteptat: Dacă observați un comportament neobișnuit pe un site web, cum ar fi lipsa de funcționalitate, imagini ce nu se încarcă sau elemente de pagină incoerente, acesta ar putea fi, de asemenea, un semn al unui atac de tip SSL stripping. Atacatorii pot modifica conținutul sau pot injecta coduri malițioase, ceea ce duce la un comportament neașteptat al site-ului web.

Este important de menționat că acești indicatori nu sunt infailibili și că nu întotdeauna pot indica un atac MitM sau un SSL strip. Cu toate acestea, dacă întâlniți oricare dintre aceste semne, este recomandabil să fiți precauți și să luați în considerare posibilitatea unui atac în curs de desfășurare.

Cum să preveniți SSL Stripping?

Prevenirea SSL stripping necesită o abordare complexă. În primul rând, proprietarii de site-uri web ar trebui să impună conexiuni HTTPS în mod implicit prin implementarea HTTP Strict Transport Security (HSTS), care instruiește browserul utilizatorului să comunice cu site-ul web numai prin conexiuni HTTPS securizate. În plus, proprietarii de site-uri web ar trebui să reînnoiască certificatul SSL la timp și să utilizeze cele mai recente protocoale criptografice și algoritmi de criptare.

Din perspectiva utilizatorului, este esențial să fie vigilent și să verifice securitatea site-urilor web înainte de a împărtăși informații sensibile. Utilizatorii ar trebui să caute simbolul lacătului, să verifice dacă există prefixul “https” în URL și să fie precauți atunci când introduc datele de autentificare sau efectuează tranzacții online pe site-uri web necunoscute sau suspecte. Utilizarea unei rețele private virtuale (VPN) fiabile poate contribui, de asemenea, la protecția împotriva atacurilor de tip SSL stripping prin criptarea întregului trafic de internet și prevenirea interceptării de către potențiali atacatori.

Concluzie

În pofida progreselor înregistrate în criptarea SSL/TLS, atacatorii continuă să exploateze vulnerabilitățile și lacunele pentru a transforma conexiunile HTTPS securizate în conexiuni HTTP nesigure. Detectarea atacurilor de tip SSL stripping este acum mai ușoară, deoarece toate browserele moderne semnalizează site-urile web HTTP ca fiind nesigure și încurajează utilizatorii să nu le folosească. Prin informare, prin implementarea unor măsuri de securitate solide și prin adoptarea unei atitudini proactive în ceea ce privește detectarea și prevenirea acestor atacuri, utilizatorii individuali și organizațiile pot asigura interacțiuni online mai sigure.

Întrebări frecvente

Ce fel de atac este SSL Stripping?

SSL stripping este un atac de tip “man-in-the-middle” care vizează comunicarea securizată dintre un utilizator și un site web prin retrogradarea conexiunii HTTPS securizate la o conexiune HTTP nesecurizată.

Copiați link-ul

Care este un exemplu de SSL Stripping?

Într-o cafenea care utilizează Wi-Fi public, un atacator efectuează un atac de tip SSL stripping prin interceptarea și retrogradarea conexiunii HTTPS securizate a unui utilizator într-o conexiune HTTP nesecurizată, ceea ce îi permite să captureze date sensibile, cum ar fi datele de autentificare și să obțină acces neautorizat la conturile online.

Copiați link-ul

Este SSL Stripping un atac de downgrade?

Da, SSL stripping poate fi considerat un tip de atac de downgrade. Acesta retrogradează conexiunea HTTPS la protocolul HTTP vulnerabil, unde datele sunt transmise în text simplu. Ca urmare, atacatorii pot intercepta și descifra informațiile în tranzit.

Copiați link-ul

Este SSL Stripping un atac MitM?

Da, SSL stripping este o formă de atac MitM. Atacatorul se poziționează între utilizator și site-ul web, interceptând comunicarea și manipulând traficul, ceea ce compromite securitatea și confidențialitatea datelor sensibile.

Copiați link-ul

Funcționează SSL Stripping pe TLS?

Da, SSL stripping poate funcționa pe TLS (Transport Layer Security), succesorul lui SSL (Secure Sockets Layer). Deși numele se referă la SSL, atacatorii pot folosi această tehnică pentru a elimina securitatea atât din conexiunile SSL, cât și din cele TLS, deoarece principiul de bază al retrogradării conexiunii rămâne același.

Copiați link-ul

Economisește 10% la certificatele SSL în momentul plasării comenzii!

Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10

Economisește 10% acum!
Scris de

Autor cu experiență, specializat în certificate SSL. Transformă subiectele complexe despre securitatea cibernetică în conținut clar și captivant. Contribuie la îmbunătățirea securității digite prin narațiuni cu impact.

Postări similare
SSL Prevent Man-In-The-Middle Attacks
Cum previne SSL atacurile Man-In-The-Middle?
SSL Sniffing
Ce este SSL sniffing și cum să îl evitați?
Cybersecurity Awareness
O introducere în conștientizarea securității cibernetice
Protect Sensitive Data
Cum se protejează informațiile sensibile?
Secure Online Payment Processing
11 Cele mai Bune Practici pentru Procesarea Securizată a Plăților Online