Ldapwiki: jak Crack SSL-TLS
přehled#
naším záměrem je správně vysvětlit SSL-TLS a poukázat na slabiny v rámci protokolu (protokolů).
jak Crack SSL-TLS v souhrnu:
- zkuste, pokud uživatel ignoruje varování certifikátu;
- aplikace může načíst data z nešifrovaného kanálu (např. http), s nimiž lze manipulovat;
- nechráněná přihlašovací stránka, která se předkládá HTTPS, může být upravena tak, aby se předkládala HTTP;
- neopravené aplikace mohou být zranitelné pro zneužití, jako je zvíře a zločin;
- uchýlit se k jiným metodám, jako je fyzický útok.
Viz také: schéma s mnoha útočnými vektory proti SSL od Ivana Rističe (png)
podrobně:#
neexistuje jednoduchý a přímočarý způsob; SSL/TLS je bezpečný, pokud je proveden správně. Útočník se může pokusit, pokud uživatel ignoruje varování certifikátu, což by okamžitě narušilo zabezpečení. Když to uživatel udělá, útočník nepotřebuje soukromý klíč od CA k vytvoření certifikátu, pouze musí poslat vlastní certifikát.
jiným způsobem by byla chyba v aplikaci (na straně serveru nebo klienta). Snadný příklad je na webových stránkách: pokud je jeden ze zdrojů používaných webem (například obrázek nebo skript) načten přes HTTP, důvěrnost již nelze zaručit. I když prohlížeče neposílají hlavičku HTTP Referer, když požadují nezabezpečené zdroje ze zabezpečené stránky (zdroje), je stále možné, aby někdo odposlouchával provoz, aby uhodl, odkud navštěvujete; pokud například znají obrázky X, Y A Z, které se používají na jedné stránce, mohou odhadnout, že tuto stránku navštěvujete, když uvidí, že váš prohlížeč požádá o tyto tři obrázky najednou. Navíc při načítání JavaScriptu může být ohrožena celá stránka. Útočník může na stránce spustit libovolný skript, který například upraví, komu bude bankovní transakce směřovat.
když k tomu dojde (zdroj je načten přes HTTP), prohlížeč zobrazí varování se smíšeným obsahem: Chrome, Firefox, Internet Explorer 9
dalším trikem pro HTTP je, když přihlašovací stránka není zabezpečena a odešle se na stránku https. „Skvělé,“ pravděpodobně si vývojář pomyslel, “ nyní ukládám zatížení serveru a heslo je stále zasíláno šifrované!“Problém je sslstrip, nástroj, který upravuje nezabezpečenou přihlašovací stránku tak, aby ji někde odeslal, aby ji útočník mohl přečíst.
v posledních několika letech došlo také k různým útokům, jako je zranitelnost TLS renegotiation, sslsniff, BEAST a velmi nedávno zločin. Všechny běžné prohlížeče jsou chráněny proti všem těmto útokům, takže tyto chyby zabezpečení nepředstavují žádné riziko, pokud používáte aktuální prohlížeč.
v neposlední řadě se můžete uchýlit k jiným metodám, abyste získali informace, které vám SSL odepírá. Pokud již vidíte a manipulujete s připojením uživatele, nemusí být tak těžké nahradit jeden z jeho / jejích .exe stahování s keylogger, nebo jednoduše fyzicky napadnout tuto osobu. Kryptografie může být poměrně bezpečná, ale lidé a lidská chyba jsou stále slabým faktorem. Podle tohoto článku společnosti Verizon se 10% porušení dat týkalo fyzických útoků (viz strana 3), takže je určitě třeba mít na paměti.