HTTPS czyli HyperText Transfer Protocol Secure to szyfrowana wersja tradycyjnego protokołu HTTP. Po nawiązaniu połączenia w pierwszej kolejności przeglądarka (bądź oczywiście inny klient) sprawdza certyfikat i dopiero nawiązuje typową transmisję danych. I już na tym etapie, jak pokazały niedawne wydarzenia z firmą DigiNotar, może dojść do przełamania bezpieczeństwa. Urzędów certyfikacji (Certificate Authority) istnieje ponad 600 i wystarczy aby włamywacz uzyskał dostęp chociaż do jednego by cała polityka bezpieczeństwa legła w gruzach.

Kolejnym sposobem włamania może być uzyskanie dostępu do routerów obsługujących urząd certyfikacji albo samego klienta. Po wystawieniu certyfikatu urząd CA wysyła maila z danymi na potwierdzony adres email klienta (tak zwana walidacja domeny – wiadomość wysyłana jest najczęściej na jeden z adresów root@ albo postmaster@). Włamywacz, podsłuchując pakiety może odczytać tę wiadomość i niestety szyfrowanie maili nie chroni na tym etapie. Istnieje jeszcze jedna technika ujawniona przez Dana Kaminsky we wrześniu na konferencji Black Hat w Las Vegas. Wykorzystuje ona luki w oprogramowaniu DNS dzięki którym można zmylić serwer odnośnie właściwego adresu IP dla domeny. Tym samym wiadomość od urzędu certyfikacji trafi bezpośrednio do włamywacza.

Istnieją również ataki na protokoły TCP i BGP. Ten ostatni wykorzystany jakiś czas temu przez pakistańskich włamywaczy do zaatakowania Youtube. Umożliwiają one uzyskanie bezpośredniego dostępu do maili w domenie ofiary.

Kolejna kwestia przenosi nas wyżej do rządów poszczególnych państw. Mogą one nakazać urzędom certyfikacji wystawienie podstawionego certyfikatu dla dowolnej domeny. Czy możemy zagwarantować że rządy Iranu, USA bądź Chin wielokrotnie z tej możliwości nie skorzystały?

Nasze dane przechowywane na serwerach dostawców również nie są bezpieczne. Google opublikowało właśnie nowy Transparency Report czyli podsumowanie ile razy rządy poszczególnych państw domagały się wglądu w dane użytkowników. Dla Polski sytuacja nie jest jeszcze najgorsza – Google odpowiedziało tylko na 11% takich wezwań, ale już dla USA współczynnik ten wynosi 93% i widać że z każdym raportem coraz więcej jest takich próśb.

Z drugiej strony dwa dni temu grupa hakerów The Hackers Choice wydała narzędzie THC-SSL-DOS umożliwiające przeprowadzenie ataku na serwery obsługujące szyfrowane połączenia. Za pomocą niezbyt wydajnego połączenia DSL można DDOSować serwer wspierany przez wielo-gigabitowe łącze. Nawet jeśli administrator stara się zabezpieczyć maszyny i robi wszystko zgodnie ze standardami sztuki nie daje mu to żadnej pewności.

W niedalekiej przeszłości badacze Thai Duong i Juliano Rizzo zaprezentowali kod exploita o nazwie BEAST (Browser Exploit Against SSL/TLS). Napisany w Javascripcie, wychwytuje zaszyfrowane ciasteczka i działa dla protokołu TLS 1.0 oraz wcześniejszych. Co gorsze, większość obecnie dostępnych na rynku przeglądarek obsługuje właśnie ten protokół jako domyślny.

Zestawienie listy unieważnionych certyfikatów (Certificate Revocation Lists) wydanej przez Certificate Authority jest równie niepokojące. W 248 przypadkach urzędy certyfikacji cofnęły wcześniej przyznany certyfikat. W porównaniu do wcześniejszego raportu sprzed 4 miesięcy, aż 5 CA wykryło poważne zagrożenie bezpieczeństwa z czego każdy z tych incydentów może skutkować poważnym problemem dla dowolnej domeny.

Po przykładach widać że bezpieczne połączenie jest już tylko mitem. Należy zmienić cały obecnie obowiązujący system, przemyśleć koncepcję. Być może to użytkownik powinien decydować komu ufać zamiast mieć z góry narzucone certyfikaty? A Wy jak myślicie?

• internet
• programowanie
• netbeans
• edytor
• google
• chrome
• przeglądarki
• W3C
• sesja
• konferencja
• bezpieczeństwo
• protokół
• HTTPS
• php
• zend framework
• firefox