5 Σοβαρά προβλήματα με την ασφάλεια HTTPS και SSL στον Ιστό
Το HTTPS, το οποίο χρησιμοποιεί SSL, παρέχει επαλήθευση ταυτότητας και ασφάλεια, ώστε να γνωρίζετε ότι είστε συνδεδεμένοι με τον σωστό ιστότοπο και κανείς δεν μπορεί να σας υποκλέψει. Αυτή είναι η θεωρία, ούτως ή άλλως. Στην πράξη, το SSL στο διαδίκτυο είναι ένα είδος χάος.
Αυτό δεν σημαίνει ότι η κρυπτογράφηση HTTPS και SSL είναι άχρηστη, καθώς είναι σίγουρα πολύ καλύτερη από τη χρήση μη κρυπτογραφημένων συνδέσεων HTTP. Ακόμη και σε χειρότερο σενάριο, μια συμβιβαζόμενη σύνδεση HTTPS θα είναι τόσο ανασφαλής όσο μια σύνδεση HTTP.
Ο πλήρης αριθμός των αρχών έκδοσης πιστοποιητικών
Το πρόγραμμα περιήγησής σας διαθέτει μια ενσωματωμένη λίστα αξιόπιστων αρχών πιστοποίησης. Τα προγράμματα περιήγησης εμπιστεύονται μόνο πιστοποιητικά που εκδίδονται από αυτές τις αρχές πιστοποίησης. Εάν επισκεφτήκατε https://example.com, ο διακομιστής ιστού στο example.com θα παρουσιάσει ένα πιστοποιητικό SSL σε εσάς και το πρόγραμμα περιήγησής σας θα ελέγξει για να βεβαιωθεί ότι το πιστοποιητικό SSL του ιστότοπου εκδόθηκε για example.com από μια αξιόπιστη αρχή πιστοποιητικού. Εάν το πιστοποιητικό εκδόθηκε για άλλο τομέα ή εάν δεν εκδόθηκε από αξιόπιστη αρχή πιστοποιητικού, θα δείτε μια σοβαρή προειδοποίηση στο πρόγραμμα περιήγησης.
Ένα σημαντικό πρόβλημα είναι ότι υπάρχουν τόσες πολλές αρχές πιστοποίησης, επομένως τα προβλήματα με μια αρχή πιστοποίησης μπορούν να επηρεάσουν όλους. Για παράδειγμα, ενδέχεται να λάβετε ένα πιστοποιητικό SSL για τον τομέα σας από το VeriSign, αλλά κάποιος μπορεί να θέσει σε κίνδυνο ή να διαγράψει άλλη αρχή πιστοποιητικού και να πάρει επίσης πιστοποιητικό για τον τομέα σας.
Οι αρχές πιστοποίησης δεν έχουν πάντα εμπνέει εμπιστοσύνη
Μελέτες έχουν διαπιστώσει ότι ορισμένες αρχές έκδοσης πιστοποιητικών δεν κατάφεραν να κάνουν ελάχιστη δέουσα επιμέλεια κατά την έκδοση πιστοποιητικών. Έχουν εκδώσει πιστοποιητικά SSL για τύπους διευθύνσεων που δεν πρέπει ποτέ να απαιτούν πιστοποιητικό, όπως "localhost", που αντιπροσωπεύει πάντα τον τοπικό υπολογιστή. Το 2011, το EFF βρήκε πάνω από 2000 πιστοποιητικά για "localhost" που εκδόθηκαν από νόμιμες, αξιόπιστες αρχές πιστοποίησης.
Εάν οι αρχές αξιόπιστων πιστοποιητικών έχουν εκδώσει τόσα πολλά πιστοποιητικά χωρίς να επαληθεύσουν ότι οι διευθύνσεις είναι ακόμη έγκυρες, είναι φυσικό να αναρωτιόμαστε τι άλλα λάθη έχουν κάνει. Ίσως έχουν επίσης εκδώσει μη εξουσιοδοτημένα πιστοποιητικά για ιστότοπους άλλων ανθρώπων σε επιτιθέμενους.
Τα πιστοποιητικά εκτεταμένης επικύρωσης ή τα πιστοποιητικά EV προσπαθούν να επιλύσουν αυτό το πρόβλημα. Έχουμε καλύψει τα προβλήματα με πιστοποιητικά SSL και πώς τα πιστοποιητικά EV προσπαθούν να τα λύσουν.
Οι αρχές πιστοποίησης θα μπορούσαν να αναγκαστούν να εκδώσουν πλαστά πιστοποιητικά
Επειδή υπάρχουν τόσες πολλές αρχές πιστοποίησης, είναι σε όλο τον κόσμο και κάθε αρχή έκδοσης πιστοποιητικών μπορεί να εκδώσει πιστοποιητικό για οποιονδήποτε ιστότοπο, οι κυβερνήσεις θα μπορούσαν να αναγκάσουν τις αρχές πιστοποιητικών να τους εκδώσουν ένα πιστοποιητικό SSL για έναν ιστότοπο που θέλουν να μιμηθούν.
Αυτό πιθανότατα συνέβη πρόσφατα στη Γαλλία, όπου η Google ανακάλυψε ένα πιστοποιητικό απατεώνων για google.com είχε εκδοθεί από τη γαλλική αρχή πιστοποίησης ANSSI. Η εξουσία θα επέτρεπε στη γαλλική κυβέρνηση ή σε όποιον άλλον να είχε υποδώσει τον ιστότοπο της Google, να επιτελέσει εύκολα τις επιθέσεις "άνθρωπος-στη-μέση". Η ANSSI ισχυρίστηκε ότι το πιστοποιητικό χρησιμοποιήθηκε μόνο σε ιδιωτικό δίκτυο για να παρακολουθήσει τους ίδιους τους χρήστες του δικτύου, όχι από τη γαλλική κυβέρνηση. Ακόμα και αν αυτό ήταν αληθές, θα ήταν παραβίαση των πολιτικών της ANSSI κατά την έκδοση πιστοποιητικών.
Το Perfect Forward Secrecy δεν χρησιμοποιείται παντού
Πολλοί ιστότοποι δεν χρησιμοποιούν "τέλεια μυστικότητα προς τα εμπρός", μια τεχνική που θα έκανε τη κρυπτογράφηση πιο δύσκολη. Χωρίς την απόλυτη εμπιστευτικότητα, ένας εισβολέας θα μπορούσε να συλλάβει μια μεγάλη ποσότητα κρυπτογραφημένων δεδομένων και να αποκρυπτογραφήσει όλα αυτά με ένα μυστικό κλειδί. Γνωρίζουμε ότι η NSA και άλλες κρατικές υπηρεσίες ασφάλειας σε όλο τον κόσμο συλλαμβάνουν αυτά τα δεδομένα. Εάν ανακαλύψουν το κλειδί κρυπτογράφησης που χρησιμοποιείται από έναν ιστότοπο χρόνια αργότερα, μπορούν να το χρησιμοποιήσουν για να αποκρυπτογραφήσουν όλα τα κρυπτογραφημένα δεδομένα που έχουν συλλέξει μεταξύ αυτού του ιστότοπου και όσων συνδέονται με αυτόν.
Η τέλεια εμπιστευτικότητα μπροστά προστατεύει από αυτό δημιουργώντας ένα μοναδικό κλειδί για κάθε σύνοδο. Με άλλα λόγια, κάθε συνεδρία είναι κρυπτογραφημένη με διαφορετικό μυστικό κλειδί, έτσι ώστε να μην μπορούν να ξεκλειδωθούν όλα με ένα μόνο κλειδί. Αυτό εμποδίζει κάποιον να αποκρυπτογραφεί ένα τεράστιο ποσό κρυπτογραφημένων δεδομένων ταυτόχρονα. Επειδή πολύ λίγες ιστοσελίδες χρησιμοποιούν αυτό το χαρακτηριστικό ασφάλειας, είναι πιο πιθανό οι κρατικές υπηρεσίες ασφαλείας να μπορούν να αποκρυπτογραφήσουν όλα αυτά τα δεδομένα στο μέλλον.
Ο άνθρωπος στις Μέσες επιθέσεις και χαρακτήρες Unicode
Δυστυχώς, οι επιθέσεις "man-in-the-middle" είναι ακόμα δυνατές με SSL. Θεωρητικά, θα πρέπει να είναι ασφαλές να συνδεθείτε με ένα δημόσιο δίκτυο Wi-Fi και να έχετε πρόσβαση στον ιστότοπο της τράπεζάς σας. Γνωρίζετε ότι η σύνδεση είναι ασφαλής επειδή είναι πάνω από το HTTPS και η σύνδεση HTTPS σας βοηθά επίσης να επαληθεύσετε ότι είστε πραγματικά συνδεδεμένοι με την τράπεζά σας.
Στην πράξη, θα μπορούσε να είναι επικίνδυνο να συνδεθείτε με τον ιστότοπο της τράπεζάς σας σε ένα δημόσιο δίκτυο Wi-Fi. Υπάρχουν λύσεις off-the-shelf που μπορούν να έχουν ένα κακόβουλο hotspot να εκτελούν επιθέσεις "άνθρωπος-στη-μέση" σε άτομα που συνδέονται με αυτό. Για παράδειγμα, ένα hotspot Wi-Fi μπορεί να συνδεθεί στην τράπεζα για λογαριασμό σας, αποστέλλοντας δεδομένα παλιότερα και καθισμένα στη μέση. Θα μπορούσε να ανακατευθυνθεί εσείς σε μια σελίδα HTTP και να συνδεθείτε στην τράπεζα με το HTTPS για λογαριασμό σας.
Θα μπορούσε επίσης να χρησιμοποιήσει μια "διεύθυνση HTTPS παρόμοια με ομόγραφο". Αυτή είναι μια διεύθυνση που μοιάζει με την οθόνη της τράπεζάς σας στην οθόνη, αλλά χρησιμοποιεί πραγματικά ειδικούς χαρακτήρες Unicode, ώστε να είναι διαφορετικός. Αυτός ο τελευταίος και πιο τρομακτικός τύπος επίθεσης είναι γνωστός ως διεθνοποιημένη επίθεση ομογραφικών ονομάτων τομέα. Εξετάστε το σύνολο χαρακτήρων Unicode και θα βρείτε χαρακτήρες που μοιάζουν ουσιαστικά με τους 26 χαρακτήρες που χρησιμοποιούνται στο λατινικό αλφάβητο. Ίσως το o στο google.com με το οποίο είστε συνδεδεμένοι δεν είναι στην πραγματικότητα o, αλλά είναι άλλοι χαρακτήρες.
Το κάλυψαμε με περισσότερες λεπτομέρειες όταν εξετάσαμε τους κινδύνους που ενέχει η χρήση ενός δημόσιου σημείου πρόσβασης Wi-Fi.
Φυσικά, το HTTPS λειτουργεί τις περισσότερες φορές. Είναι απίθανο ότι θα συναντήσετε μια τέτοια έξυπνη επίθεση κατά τη μέση όταν θα επισκεφθείτε ένα καφέ και θα συνδεθείτε με το Wi-Fi. Το πραγματικό σημείο είναι ότι το HTTPS έχει κάποια σοβαρά προβλήματα. Οι περισσότεροι άνθρωποι το εμπιστεύονται και δεν γνωρίζουν αυτά τα προβλήματα, αλλά δεν είναι σχεδόν τέλεια.
Πιστωτική εικόνα: Sarah Joy