Что такое атака SSL Stripping и как ее предотвратить

Последнее обновление by Dionisie Gitlan

С момента своего появления на коммерческом рынке SSL-сертификаты претерпели несколько усовершенствований в плане безопасности и теперь могут похвастаться практически непробиваемым уровнем шифрования. Однако постоянные усовершенствования SSL не отбили охоту у циничных злоумышленников пытаться украсть зашифрованные данные.

Даже при наличии надежных мер безопасности над Сетью нависает киберугроза, известная как SSL stripping, которая ищет уязвимости и лазейки в конфигурации HTTPS и готова нанести удар при первой же оплошности. В этой статье объясняется, что такое атака с отменой SSL, почему она опасна, и как Вы можете обнаружить и предотвратить атаки с отменой SSL, угрожающие Вашему сайту и бизнесу.

Оглавление

  1. Что такое SSL Stripping?
  2. Как работает SSL Stripping?
  3. Каковы типы SSL-стриппинга?
  4. Почему SSL Strip так опасен?
  5. Как обнаружить SSL Stripping?
  6. Как предотвратить SSL Stripping?

Что такое SSL Stripping?

Снятие SSL – это кибер-атака, целью которой является безопасная связь между пользователем и веб-сайтом. Он использует тот факт, что большинство веб-сайтов и онлайн-сервисов используют шифрование SSL/TLS для защиты конфиденциальной информации, передаваемой через Интернет. Атака с использованием SSL-полоски превращает защищенное HTTPS-соединение в незащищенное HTTP-соединение, облегчая киберворам перехват и манипулирование данными, передаваемыми между веб-сервером и клиентом.

Как работает SSL Stripping?

В 2009 году Мокси Марлинспайк, известный американский исследователь в области компьютерной безопасности, выступающий за широкое использование сильной криптографии и технологий PET (Privacy Enhancing Technologies), впервые рассказал о полоске SSL на мероприятии по информационной безопасности Black Hat.

Чтобы лучше понять, как работают атаки с отменой SSL, давайте рассмотрим сценарий, в котором пользователь хочет получить доступ к веб-сайту по протоколу HTTPS. Веб-браузер пользователя инициирует соединение, запрашивая у сайта сертификат SSL. Если SSL-сертификат сайта действителен, браузер будет доверять ему и позволит посетителям получить доступ к веб-странице.

Однако при атаке с отменой SSL злоумышленник действует как “человек посередине”, перехватывая первоначальный запрос и понижая уровень соединения до HTTP, прежде чем оно достигнет веб-сайта. В результате браузер не знает об атаке и позволяет хакеру перехватывать, читать и изменять любые данные, передаваемые между пользователем и сайтом.

Злоумышленник располагается между пользователем и веб-сайтом с помощью различных средств, таких как несанкционированная точка доступа Wi-Fi или взломанное сетевое устройство. Затем они изменяют ответ веб-сайта, удаляя все ссылки на HTTPS и заменяя их на HTTP.

Кроме того, они могут удалять защищенные ссылки, перенаправления или другие элементы, обеспечивающие использование HTTPS.

Поскольку браузер пользователя теперь думает, что сайт использует HTTP, все последующие запросы пользователя, такие как ввод учетных данных или конфиденциальной информации, будут отправляться по незащищенному соединению.

Каковы типы SSL-стриппинга?

Существует два распространенных типа атак на снятие SSL: пассивные и активные. Давайте погрузимся в более подробные технические детали и рассмотрим каждую атаку.

Пассивный SSL Stripping

При пассивной атаке с отменой SSL злоумышленник перехватывает обмен данными между пользователем и сайтом, не изменяя при этом никаких данных. Вот краткое описание этого процесса:

  1. Пользователь устанавливает соединение с сайтом по протоколу HTTPS, но злоумышленник перехватывает это соединение.
  2. Затем хакер проводит атаку на понижение SSL, манипулируя заголовками ответа, отправляемыми обратно в браузер пользователя.
  3. Как только соединение будет понижено, злоумышленник сможет перехватить и просмотреть весь обмен данными между пользователем и сайтом.
  4. Злоумышленник молча собирает перехваченные данные для использования в злонамеренных целях, таких как кража личных данных, компрометация учетной записи или несанкционированный доступ к конфиденциальным ресурсам.

Активный SSL Stripping

Активные атаки с отменой SSL идут на шаг дальше, не только понижая уровень соединения до HTTP, но и изменяя содержимое веб-страниц, которыми обмениваются пользователь и сайт. Вот более подробное объяснение:

  1. Злоумышленник перехватывает HTTPS-соединение пользователя и понижает его до HTTP, что похоже на пассивную зачистку SSL.
  2. При активном SSL-стриппинге хакер активно изменяет содержимое веб-страниц, которыми обмениваются пользователь и сайт. Они могут использовать различные техники, такие как:
  • Изменение ссылок: Злоумышленник изменяет ссылки на веб-странице, чтобы они указывали на небезопасные HTTP URL вместо безопасных HTTPS URL.
  • Внедрение вредоносного кода: Злоумышленник может вставить вредоносный JavaScript или HTML-код в веб-страницу, чтобы перехватить пользовательский ввод или украсть конфиденциальные данные.
  • Перенаправление пользователя: Злоумышленник может перенаправить пользователя на поддельный сайт, имитирующий законный, – классическая фишинговая атака с потенциально тяжелыми последствиями.

Активные атаки на снятие SSL более опасны, чем пассивные, поскольку они включают в себя манипуляции с контентом и могут привести к дополнительной эксплуатации и компрометации информации пользователя.

Почему SSL Strip так опасен?

SSL Strip перенаправляет весь трафик, идущий с машины жертвы, на прокси, созданный злоумышленником. Теперь давайте поставим себя на место нападающего. Мы создали соединение между жертвой и нашим прокси-сервером. Он может перехватывать весь трафик, который поступает к нам. Без использования SSL-полосы мы бы просто получили зашифрованные данные, которые мы не сможем расшифровать.

Но все кардинально меняется, когда мы добавляем SSL Strip. Если кто-то подключится к нашему прокси-серверу, при этом Strip будет работать в фоновом режиме, жертва не получит от браузера никакого предупреждения об ошибке SSL-сертификата. У них не будет никаких подозрений, что происходит настоящая атака. Как же полоса SSL может обмануть и браузер, и сервер сайта?

Стрип использует преимущества того, как большинство пользователей приходят на SSL-сайты. Большинство посетителей переходят на страницу сайта, которая перенаправляет (например, 302 редиректа), или попадают на SSL-страницу по ссылке с не-SSL-сайта. Если жертва хочет, например, купить цифровой товар и набирает в адресной строке следующий URL www.somedigitalproduct.com, браузер соединяется с машиной злоумышленника и ожидает ответа от сервера. Злоумышленник, в свою очередь, пересылает запрос жертвы на сервер интернет-магазина и получает защищенную страницу оплаты по протоколу HTTPS. Например, https://www.somedigitalproduct.com.

На этом этапе злоумышленник получает полный контроль над защищенной страницей оплаты. Он понижает его уровень с HTTPS до HTTP и отправляет обратно в браузер жертвы. Теперь браузер перенаправляется на сайт http://www.somedigitalproduct.com. С этого момента все данные жертвы будут передаваться в формате обычного текста, и злоумышленник сможет их перехватить. Тем временем сервер сайта будет думать, что он успешно установил безопасное соединение. Это действительно так, но на машине атакующего, а не жертвы.

Как обнаружить SSL Stripping?

Хотя обнаружить атаки SSL stripping может быть непросто, есть несколько индикаторов, на которые Вы можете обратить внимание. Вот пять признаков, которые могут помочь обнаружить SSL-стриптиз.

  1. Отсутствие символа висячего замка: Обычно, когда Вы посещаете защищенный сайт, Ваш браузер отображает символ висячего замка в адресной строке рядом с URL-адресом сайта. Если символ замка отсутствует или заменен значком предупреждения, это может означать, что соединение теперь осуществляется по протоколу HTTP, и может произойти отмена SSL.
  2. Несоответствующий URL: Обратите внимание на URL-адрес сайта. Когда Вы первоначально загружаете защищенный сайт по HTTPS, URL начинается с “https://”. Если в какой-то момент во время Вашего взаимодействия с сайтом URL меняется на “http://” вместо того, чтобы оставаться “https://”, это говорит о том, что соединение было понижено и, возможно, идет процесс снятия SSL.
  3. Предупреждающие сообщения браузеров: Современные браузеры часто выводят предупреждающие сообщения, когда возникают проблемы с безопасностью. Если Ваш браузер показывает, что сертификат безопасности сайта недействителен или соединение небезопасно, Вам следует покинуть сайт.
  4. Предупреждения о смешанном содержимом: Безопасные сайты (HTTPS) не должны загружать какое-либо содержимое, например, изображения или скрипты, из небезопасных источников (HTTP). Если Ваш браузер выдает предупреждения о “смешанном содержимом”, это говорит о том, что защищенное соединение могло быть испорчено, что может указывать на атаку с отменой SSL.
  5. Неожиданное поведение: Если Вы заметили необычное поведение веб-сайта, например, отсутствие функциональности, неработающие изображения или несоответствующие элементы страницы, это также может быть признаком атаки с отменой SSL. Злоумышленники могут изменить содержимое или внедрить вредоносный код, что приведет к неожиданному поведению сайта.

Стоит отметить, что эти индикаторы не являются безошибочными и не всегда могут указывать на MitM-атаку или SSL-полоску. Однако если Вы обнаружили хотя бы один из этих признаков, рекомендуется проявить осторожность и подумать о возможности продолжающейся атаки.

Как предотвратить SSL Stripping?

Предотвращение обхода SSL требует многоуровневого подхода. Прежде всего, владельцы сайтов должны обеспечить HTTPS-соединения по умолчанию, внедрив HTTP Strict Transport Security (HSTS), который предписывает браузеру пользователя взаимодействовать с сайтом только через защищенные HTTPS-соединения. Кроме того, владельцы сайтов должны своевременно обновлять SSL-сертификат и использовать новейшие криптографические протоколы и алгоритмы шифрования.

С точки зрения пользователя, очень важно быть бдительным и проверять безопасность сайтов, прежде чем делиться конфиденциальной информацией. Пользователям следует искать символ замка, проверять наличие префикса “https” в URL-адресе и быть осторожными при вводе учетных данных или совершении онлайн-транзакций на незнакомых или подозрительных сайтах. Использование надежной VPN (виртуальной частной сети) также поможет защититься от атак SSL stripping, шифруя весь интернет-трафик и предотвращая его перехват потенциальными злоумышленниками.

Заключение

Несмотря на достижения в области шифрования SSL/TLS, злоумышленники продолжают использовать уязвимости и лазейки для понижения уровня защищенного HTTPS до небезопасных HTTP-соединений. Обнаружить атаки с отменой SSL стало проще, поскольку все современные браузеры отмечают HTTP-сайты как небезопасные и призывают пользователей не использовать их. Оставаясь информированными, применяя надежные меры безопасности и проявляя инициативу в обнаружении и предотвращении таких атак, частные лица и компании могут обеспечить более безопасное взаимодействие в Интернете.

Часто задаваемые вопросы

Что это за атака – SSL Stripping?

Снятие SSL – это тип атаки “человек посередине”, которая направлена на безопасное взаимодействие между пользователем и веб-сайтом путем понижения уровня защищенного HTTPS-соединения до небезопасного HTTP-соединения.

Копировать ссылку

Что является примером SSL Stripping?

В кафе, пользующемся общественным Wi-Fi, злоумышленник проводит атаку SSL stripping, перехватывая и понижая уровень защищенного HTTPS-соединения пользователя до незащищенного HTTP-соединения, что позволяет ему получить конфиденциальные данные, такие как учетные данные для входа в систему, и потенциально получить несанкционированный доступ к учетным записям в Интернете.

Копировать ссылку

Является ли SSL Stripping атакой на понижение?

Да, отмена SSL может считаться разновидностью атаки на понижение. Он понижает уровень HTTPS-соединения до уязвимого протокола HTTP, в котором данные передаются открытым текстом. В результате злоумышленники могут перехватить и расшифровать информацию в процессе ее передачи.

Копировать ссылку

Является ли SSL Stripping атакой MitM?

Да, отмена SSL – это разновидность MitM-атаки. Злоумышленник занимает позицию между пользователем и веб-сайтом, перехватывает связь и манипулирует трафиком, что ставит под угрозу безопасность и конфиденциальность конфиденциальных данных.

Копировать ссылку

Работает ли SSL Stripping в TLS?

Да, SSL stripping может работать с TLS (Transport Layer Security), преемником SSL (Secure Sockets Layer). Хотя название относится к SSL, злоумышленники могут использовать эту технику, чтобы лишить безопасности как SSL, так и TLS-соединения, поскольку принцип понижения уровня соединения остается тем же самым.

Копировать ссылку

Сэкономьте 10% на SSL-сертификатах при заказе сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Сэкономьте 10% сейчас!
Написано

Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.

Похожие посты
Как SSL предотвращает атаки Man-In-The-Middle?
Что такое SSL Sniffing и как его избежать?
Введение в осведомленность о кибербезопасности
Как защитить чувствительную информацию?
11 лучших практик для безопасной обработки онлайн-платежей