19.07.2013, 10:36
Wielokrotnie czytaliśmy, byliśmy pouczani i uczulani, by koniecznie zwracać uwagę na to, jakim protokołem posługują się wykonywane przez połączenia z ważnymi dla nas stronami w sieci - chodzi o logowanie do kont pocztowych, bankowości elektronicznej, portali społecznościowych i w ogóle do wszelkich stron, na których logujemy się indywidualnym loginem i hasłem, Chodzi oczywiście o to, jak zabezpieczony jest ten proces i czy ktokolwiek postronny jest w stanie te wrażliwe dla nas dane przechwycić. Jedną z podstawowych zasad tu stosowanych jest użycie protokołu HTTPS( Hypertext Transfer Protocol Secure ) czyli "zwykłego" protokołu HTTP, ale zaszyfrowanego, co umożliwia m.in. bezpieczne (w założeniu) przesyłanie danych, zabezpieczenie przed podsłuchem i uwierzytelnienie połączenia, a podstawą tego połączenia są odpowiednie certyfikaty .
I tu jest pies pogrzebany...okazuje się bowiem, że część dostawców internetu, pracodawcy, instytucje, szkoły itp. czyli ci, z usług których korzystamy logując się i używając sieci, nasłuchuje te bezpieczne połączenia. Ale to nie wszystko...z analiz wynika, że instytucje te przechwytując, rozszyfrowując i ponownie szyfrując nasze "bezpieczne" informacje zostawia swój ślad w postaci podmienionego certyfikatu . Efekt jest taki, że mając w pasku adresu
Pół biedy, kiedy faktycznie mamy stronę zaufaną gorzej, kiedy mamy stronę pseudobanku...to problem dość poważny chyba zwłaszcza w kontekście ataku Man in The Middle(MiTM), który właśnie polega na takim przechwyceniu połączenia, a potem podszyciu się przez atakującego za certyfikowanego i bezpiecznego nadawcę....szerzej w cytacie
Źródło
- należy wklikać się w kłodkę przy adresie w pasku zadań, co pokaże nam okienko z ogólną informacją (w Firefox wygląda, jak na poniższym screenie), po czym wciskamy przycisk "Więcej informacji"
- w kolejnym oknie "Informacje o stronie..." możemy przeczytać m.in. kto jest właścicielem strony, kto ją weryfikuje, jaki jest sposób szyfrowania, ale idziemy dalej i wciskamy przycisk"Wyświetl certyfikat"
- w tym okienku możemy sprawdzić ogólne i szczegółowe dane odnośnie certyfikatu
"No dobrze, ale skąd mam wiedzieć, że ten certyfikat jest prawdziwy?"padnie pytanie...i tu jest sedno sprawy, bo jak zwykły użytkownik ma zweryfikować, czy pokazywany certyfikat jest tym, którym być powinien, a nie jakimś fałszywym? Żeby to zrobić wchodzimy na stronę stworzoną przez Gibson Research Corporation , na której w odpowiednim polu wpisujemy adres interesującej nas strony, a po chwili mamy numer oryginalnego certyfikatu, który sprawdzamy z tym pokazanym w nam przez przeglądarkę z paska adresu (powyżej). Jeśli widzimy różnice w numerze certyfikatu, oznacza to, że nasze połączenie zostało przechwycone , a dostawca podstawił nieprawdziwy certyfikat strony z którą się łączymy.
Ważna sprawa jeszcze.... strona GRC (jak i wiele innych stron) oferuje tak zwany "certyfikat rozszerzonej walidacji" (Extended Validation (EV) certificates)co oznacza, że procedura sprawdzająca jest dłuższa i bardziej szczegółowa i tym samym niejako bardziej zaufana...jest to jednak procedura nieobowiązkowa i nie oznacza, że strony bez certyfikatu EV są mniej zaufane. Piszę o tym certyfikacie dlatego, że adres strony z certyfikatem EV sprawdzany na GRC powinien pokazać duży zielony punkt .
Piszę powinien, ale dotyczy to tylko przeglądarek takich jak Firefox, Chrome i Chromium- Internet Explorer nie pokaże tego punktu, ponieważ Microsoft pomija celowo certyfikat EV. W związku z tym jeśli:
- przeglądane za pomocą Firefoxa, Chrome/Chroimum znane nam strony z certyfikatem EV nie wyświetlą na stronie GRC zielonej kropki, oznacza to że są podmienione
- przeglądane za pomocą IE strony wyświetlą w teście GRC zieloną kropkę również oznacza to, że są podmienione.
Całości tematu dodaje smaczku jeszcze inna rzecz...Nokia na przykład przechwytywała cały zaszyfrowany ruch sieciowy na swoich urządzeniach mobilnych, ale miała ku temu swoje powody. Z podobnych powodów Opera Mini robiła to samo. Jeszcze ciekawsze jest to, że ruch po HTTPS przechwytują dwaj producenci zabezpieczeń - BitDefender i kaspersky...nie znam za dobrze AV/IS tych firm, ale ponoć jest opcjonalne i da się wyłączyć.
Na koniec pytanie -na ile ten sposób jest wiarygodny i czy daje 100% pewne wyniki. No niestety mogą się zdarzyć nie tyle błędy, co różnice i nieścisłości. Okazuje się bowiem, że w przeciwieństwie do większości firm posiadających certyfikaty niektórzy z dużych potentatów internetu (Google, Apple, Amazon) używają wielu certyfikatów w zależności od rodzaju usługi czy regionu, gdzie jest oferowana...w związku z tym może się zdarzyć, że certyfikat pokazywany może mieć inny numer, niż ten w bazie GRC.
Strona do weryfikacji oraz źródło informacji
I tu jest pies pogrzebany...okazuje się bowiem, że część dostawców internetu, pracodawcy, instytucje, szkoły itp. czyli ci, z usług których korzystamy logując się i używając sieci, nasłuchuje te bezpieczne połączenia. Ale to nie wszystko...z analiz wynika, że instytucje te przechwytując, rozszyfrowując i ponownie szyfrując nasze "bezpieczne" informacje zostawia swój ślad w postaci podmienionego certyfikatu . Efekt jest taki, że mając w pasku adresu
[Aby zobaczyć linki, zarejestruj się tutaj]
śtamspodziewamy się...pewni jesteśmy...że mamy faktycznie bezpieczne "cośtam"czyli na przykład bank...może się niestety okazać jednak, że ktoś nas podsłuchał i podmienił certyfikat bez naszej wiedzy.Pół biedy, kiedy faktycznie mamy stronę zaufaną gorzej, kiedy mamy stronę pseudobanku...to problem dość poważny chyba zwłaszcza w kontekście ataku Man in The Middle(MiTM), który właśnie polega na takim przechwyceniu połączenia, a potem podszyciu się przez atakującego za certyfikowanego i bezpiecznego nadawcę....szerzej w cytacie
Cytat:Jest to atak ukierunkowany często stosowany przez phisher-ów. Jego adresatami są najczęściej pojedyncze, wcześniej upatrzone, osoby. Celem ataku Man in The Middle jest zdobycie danych osobowych, lub przechwycenie danych uwierzytelniających. W związku z tym, że atak ten jest dość „drogi” w odniesieniu do potencjalnie otrzymanych korzyści to ofiary są starannie dobierane. Raczej nie ma tu mowy o przypadkowości.
Przykładowo gdy staniemy się celem takiego ataku to podczas dokonywania transakcji za pośrednictwem swojego konta internetowego nasze hasła czy loginy mogą zostać podsłuchane. Dzieję się tak ponieważ cyberprzestępca pośredniczy pomiędzy nami, jako klientami, a serwerem docelowym, którym jest serwer banku. Dzięki temu wszystkie informacje przesyłane od klienta w kierunku serwera docelowego i odwrotnie są transferowane przez serwer atakującego.
(...)
Zaletą zastosowania tego działania jest to, że cyberprzestępca może zdobyć nie tylko dane uwierzytelniające klienta w danym serwisie, ale także inne hasła używane w jego ramach. Atak MiTM daje także możliwość bezpośredniego porozumiewania się z ofiarą poprzez wyświetlanie jej okien pop-up z prośbą o wypełnienie pewnych istotnych dla atakującego pól.
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
OK...ale co teraz ma zrobić użytkownik postawiony w tak niepewnej sytuacji "ktoś mnie podsłuchuje?...ktoś zna moje hasła?...ktoś może się pode mnie podszyć?...czy dostawca mnie oszukuje?"Okazuje się, że może to zrobić sprawdzając certyfikat strony:- należy wklikać się w kłodkę przy adresie w pasku zadań, co pokaże nam okienko z ogólną informacją (w Firefox wygląda, jak na poniższym screenie), po czym wciskamy przycisk "Więcej informacji"
- w kolejnym oknie "Informacje o stronie..." możemy przeczytać m.in. kto jest właścicielem strony, kto ją weryfikuje, jaki jest sposób szyfrowania, ale idziemy dalej i wciskamy przycisk"Wyświetl certyfikat"
- w tym okienku możemy sprawdzić ogólne i szczegółowe dane odnośnie certyfikatu
"No dobrze, ale skąd mam wiedzieć, że ten certyfikat jest prawdziwy?"padnie pytanie...i tu jest sedno sprawy, bo jak zwykły użytkownik ma zweryfikować, czy pokazywany certyfikat jest tym, którym być powinien, a nie jakimś fałszywym? Żeby to zrobić wchodzimy na stronę stworzoną przez Gibson Research Corporation , na której w odpowiednim polu wpisujemy adres interesującej nas strony, a po chwili mamy numer oryginalnego certyfikatu, który sprawdzamy z tym pokazanym w nam przez przeglądarkę z paska adresu (powyżej). Jeśli widzimy różnice w numerze certyfikatu, oznacza to, że nasze połączenie zostało przechwycone , a dostawca podstawił nieprawdziwy certyfikat strony z którą się łączymy.
[Aby zobaczyć linki, zarejestruj się tutaj]
Ważna sprawa jeszcze.... strona GRC (jak i wiele innych stron) oferuje tak zwany "certyfikat rozszerzonej walidacji" (Extended Validation (EV) certificates)co oznacza, że procedura sprawdzająca jest dłuższa i bardziej szczegółowa i tym samym niejako bardziej zaufana...jest to jednak procedura nieobowiązkowa i nie oznacza, że strony bez certyfikatu EV są mniej zaufane. Piszę o tym certyfikacie dlatego, że adres strony z certyfikatem EV sprawdzany na GRC powinien pokazać duży zielony punkt .
[Aby zobaczyć linki, zarejestruj się tutaj]
Piszę powinien, ale dotyczy to tylko przeglądarek takich jak Firefox, Chrome i Chromium- Internet Explorer nie pokaże tego punktu, ponieważ Microsoft pomija celowo certyfikat EV. W związku z tym jeśli:
- przeglądane za pomocą Firefoxa, Chrome/Chroimum znane nam strony z certyfikatem EV nie wyświetlą na stronie GRC zielonej kropki, oznacza to że są podmienione
- przeglądane za pomocą IE strony wyświetlą w teście GRC zieloną kropkę również oznacza to, że są podmienione.
Całości tematu dodaje smaczku jeszcze inna rzecz...Nokia na przykład przechwytywała cały zaszyfrowany ruch sieciowy na swoich urządzeniach mobilnych, ale miała ku temu swoje powody. Z podobnych powodów Opera Mini robiła to samo. Jeszcze ciekawsze jest to, że ruch po HTTPS przechwytują dwaj producenci zabezpieczeń - BitDefender i kaspersky...nie znam za dobrze AV/IS tych firm, ale ponoć jest opcjonalne i da się wyłączyć.
Na koniec pytanie -na ile ten sposób jest wiarygodny i czy daje 100% pewne wyniki. No niestety mogą się zdarzyć nie tyle błędy, co różnice i nieścisłości. Okazuje się bowiem, że w przeciwieństwie do większości firm posiadających certyfikaty niektórzy z dużych potentatów internetu (Google, Apple, Amazon) używają wielu certyfikatów w zależności od rodzaju usługi czy regionu, gdzie jest oferowana...w związku z tym może się zdarzyć, że certyfikat pokazywany może mieć inny numer, niż ten w bazie GRC.
Strona do weryfikacji oraz źródło informacji
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"