Что такое SSL Sniffing и как его избежать?

Последнее обновление by Dionisie Gitlan

Поскольку Интернет вещей становится все более защищенным, киберпреступники вынуждены придумывать новые методы перехвата и кражи конфиденциальных данных. Обычно они пользуются существующими инструментами кибербезопасности и пытаются обмануть пользователей, заставляя их доверять им. Поэтому эта статья поможет Вам узнать, что такое попытка SSL Sniffing. Он также покажет Вам, как защитить от него Ваше SSL-соединение. Но сначала давайте определим, что такое TLS/SSL-прокси для завершения работы.

Оглавление

  1. Что такое прокси для завершения TLS/SSL?
  2. Что такое SSL Sniffing?
  3. Как работает SSL Sniffing?
  4. Как избежать SSL Sniffing?
  5. Как Как предотвратить SSL Sniffing?

Что такое прокси для завершения TLS/SSL?

Прокси-сервер для завершения TLS/SSL – это прокси-сервер, который используется организацией для перехвата и обработки входящих TLS/SSL соединений, расшифровки TLS/SSL, а затем передачи незашифрованного запроса на один из своих высокозащищенных серверов, например, Apache HTTP Server, Nginx или HAProxy.

Цель использования прокси-сервера для завершения TLS/SSL – снизить нагрузку на основные серверы организации. Но прежде чем внедрять этот прокси, организация должна убедиться, что ее сеть настолько безопасна, что ей не нужно шифровать данные сессии для своих пользователей.

К сожалению, злоумышленники научились использовать возможности прокси для завершения TLS/SSL для прослушивания защищенных SSL-соединений. Теперь они могут легко перехватывать сообщения, которыми обмениваются внутри него.

Что такое SSL Sniffing?

SSL-сниффинг – это вредоносная кибератака, когда прокси-сервер завершения TLS/SSL действует как MitM-прокси, перехватывая защищенное SSL-соединение.

Почему MitM (man-in-the-middle)? Потому что прокси по определению является третьей стороной “человек посередине”. Прокси соединяется с сервером, а затем клиент соединяется с прокси.

Как работает SSL Sniffing?

Возможно, Вы уже знаете, что SSL-сертификаты предотвращают MitM-атаки. Как получилось, что MitM может вмешаться и прослушать SSL-соединение?

При сниффинге SSL-соединения MitM-прокси выступает в роли недоверенного центра сертификации. MitM-прокси динамически генерирует SSL-сертификаты на любое имя хоста, необходимое для установления SSL-соединения. Например, если браузер хочет подключиться к https://www.mywebsite.com, MitM-прокси сгенерирует SSL-сертификат для www.mywebsite.com и подпишет его как независимый CA.

Преднамеренно выступая в роли отдельного ЦС, вредоносный MitM-прокси использует эту возможность и пытается перехватить доверенное SSL-соединение. Поэтому, когда браузер пытается подключиться к веб-серверу, MitM-прокси вмешивается, выпуская и подписывая свой собственный сертификат. Поэтому, в то время как MitM-прокси получает оригинальный SSL-сертификат сервера, браузер получает поддельный SSL-сертификат, выданный MitM-прокси.

Но вот наступает решающая часть попытки SSL Sniffing:

Браузер думает, что он подключается к серверу, но на самом деле он подключается к MitM-прокси. Здесь возникает заминка: чтобы сниффинг состоялся, браузер должен принять этот прокси за настоящий, доверенный ЦС.

Если пользователь проигнорирует все предупреждения о безопасности и примет поддельный SSL-сертификат и ЦС MitM-прокси за доверенные, он успешно подключится к MitM-прокси, инициирует SSL Sniffing, и SSL-соединение станет небезопасным.

Как избежать SSL Sniffing?

Предположим, что пользователь не устанавливал никаких вредоносных программ. Когда браузер получит поддельный SSL-сертификат, он выведет сообщение безопасности, предупреждающее пользователей не доверять эмитенту SSL-сертификата, и спросит, включить ли поддельный сертификат MitM-прокси в список доверенных сертификатов. Отклонив запрос, пользователь пресекает попытку SSL Sniffing, успешно защищая свое защищенное SSL-соединение.

Как предотвратить SSL Sniffing?

Чтобы предотвратить HTTPS-сниффинг и обеспечить конфиденциальность и целостность Ваших коммуникаций, защищенных SSL/TLS, следуйте этим рекомендациям:

  1. Используйте последние версии протокола TLS. Убедитесь, что Вы используете новейшие протоколы TLS (например, TLS 1.3) и самые последние, хорошо поддерживаемые библиотеки или фреймворки TLS как на стороне сервера, так и на стороне клиента. Эти обновления часто включают в себя улучшения безопасности и исправления уязвимостей. Со временем старые версии SSL/TLS могут стать “черным ходом” для использования SSL-сниффером. Не оставляйте злоумышленникам возможности маневрировать и направлять свои атаки SSL sniff через устаревшие протоколы.
  2. Реализуйте строгую транспортную безопасность (HSTS). HSTS – это механизм безопасности, который предписывает веб-браузерам всегда соединяться с веб-сайтом по протоколу HTTPS, предотвращая любые атаки на понижение. Это помогает защититься от атак с отменой SSL. Включив HSTS, Вы гарантируете, что даже если пользователь наберет “http://” вместо “https://”, браузер автоматически переключится на безопасное соединение.
  3. Получите сертификаты от доверенного центра сертификации. Получите сертификаты SSL/TLS от авторитетных центров сертификации. Эти сторонние организации подтверждают личность сервера и выдают доверенные сертификаты, не позволяя злоумышленникам использовать неавторизованные или самоподписанные сертификаты для перехвата трафика. Регулярно проверяйте срок действия и дату истечения сертификата, поскольку просроченный сертификат – это еще одна серьезная лазейка, которую любят использовать хакеры.
  4. Реализуйте привязку сертификатов. Привязка сертификатов позволяет Вам указать, какие сертификаты или открытые ключи являются доверенными для определенного домена. Это гарантирует, что только ожидаемые сертификаты или ключи будут приняты во время рукопожатия SSL/TLS.

    Привязка сертификата предотвращает такие атаки, гарантируя, что клиент проверяет личность сервера, используя только указанный сертификат или ключ. Если злоумышленник попытается использовать другой сертификат для прослушивания SSL-трафика, клиент отклонит его, предотвратив перехват и расшифровку трафика.
  5. Защитите свое устройство с помощью надежного антивируса. К сожалению, если злоумышленники взломали компьютер пользователя и установили вирус, браузер может доверять MitM-прокси как действующему ЦС. Этот процесс обычно происходит в фоновом режиме и незаметен для пользователя. По этой причине очень важно защитить свой компьютер с помощью надежного антивирусного программного обеспечения.

    Если Ваш компьютер защищен антивирусным программным обеспечением, то Ваши веб-браузеры предупредят Вас о недоверенном Центре сертификации и его сертификате. Пожалуйста, будьте осторожны и не доверяйте вредоносным MitM-прокси. В случае сомнений всегда проверяйте SSL-сертификат и его центр сертификации. Атака SSL Sniffing возможна только благодаря доверчивости пользователей. Например, “Я просто нажму OK, чтобы наконец-то посетить этот сайт”.

Заключительные мысли

Помните, что цель SSL-сертификата – защитить соединение между Вами и веб-сервером. Именно поэтому Вы не должны допускать вмешательства третьих лиц. SSL Sniffing может произойти только в том случае, если Вы проигнорируете предупреждения или сделаете свой компьютер восприимчивым к вирусам и вредоносным программам. Позаботьтесь о том, чтобы избежать любой из этих ситуаций.

Сэкономьте 10% на SSL-сертификатах при заказе сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Сэкономьте 10% сейчас!
Написано

Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.

Похожие посты
Как SSL предотвращает атаки Man-In-The-Middle?
Что такое атака SSL Stripping и как ее предотвратить
Введение в осведомленность о кибербезопасности
Как защитить чувствительную информацию?
11 лучших практик для безопасной обработки онлайн-платежей