SSL a bezpieczeństwo transakcji internetowych

Bezpieczne połączenie przeglądarki z programowym zapleczem wspierającym jest podstawą handlu elektronicznego i bankowości online. Ale co się dzieje, kiedy jest ono obchodzone?

Bezpieczne połączenie przeglądarki z programowym zapleczem wspierającym jest podstawą handlu elektronicznego i bankowości online. Ale co się dzieje, kiedy jest ono obchodzone?

Kradzież stulecia, która miała miejsce w 1963 r. w Wlk. Brytanii, można oszacować na ok. 69 mln dzisiejszych dolarów. Największy skok na bank jest oceniany na 80 mln USD. Jednak takie napady wiążą się z dużym ryzykiem i niskim uzyskiem. Według danych FBI, średnia strat wynikających z napadów na banki wynosi ok. 4,2 tys. USD, a ponad połowa ich sprawców zostaje schwytana.

Fizyczne rabowanie banków wyglądać więc może na robotę drobnych złodziejaszków, w porównaniu z możliwościami nowego rodzaju cyberprzestępców, których jest coraz więcej. Mogą oni wyczyścić konta klientów banku na miliony dolarów, używając trojanów omijających SSL czy bardziej wyrafinowanych metod phishingu.

Każdy dostawca rozwiązań antywirusowych może przytoczyć liczne przykłady trojanów skonstruowanych z myślą o bankach i sklepach internetowych, przeznaczonych do kradzieży pieniędzy czy tożsamości. Mając na uwadze skalę inwestycji w rozwój biznesu online, nie ma potrzeby uzasadniania powagi problemu.

Głównym orężem w arsenale środków, którymi posługują się cyberprzestępcy zainteresowani bankowością online, pozostaje phishing. Zręczne triki, zachęcające użytkowników do odwiedzania stron "wędkarzy", stają się coraz bardziej wymyślne. Przesyłki pocztowe phishingu pojawiają się teraz z treścią zawierającą adres, kod pocztowy lub informacje o koncie, co wskazuje, że profesjonalny przestępca uzyskał wcześniej inne źródło informacji i wykorzystuje je do pozyskania zaufania adresata.

Jednak w miarę, jak phishing staje się coraz bardziej sprytny, mądrzeją również użytkownicy. Przeciętny odbiorca takiej poczty coraz rzadziej jest skłonny do wprowadzania informacji uwierzytelniającej w odpowiedzi na podstępne zapytania czy prośby przychodzące pocztą elektroniczną. W związku z taką sytuacją cyberprzestępcy coraz częściej korzystają z trojanów pozwalających na omijanie zabezpieczenia SSL.

Takie trojany instalują się same na pececie użytkownika, bez jego wiedzy, i albo przechwytują informacje logowania, albo manipulują transakcją po pomyślnym zalogowaniu. W obu przypadkach połączenie SSL pomiędzy komputerem PC a np. bankiem pozostaje nienaruszone. Użytkownik może być przekonany, że poufna transakcja online jest chroniona przed różnego rodzaju intrygami, ale tak nie jest.

Zabezpieczenia SSL i sposoby ich obchodzenia

SSL a bezpieczeństwo transakcji internetowych

Schemat działania SSL

SSL - Secure Socket Layer jest protokołem działającym w warstwie pomiędzy aplikacjami a stosem TCP/IP. Protokół może służyć do szyfrowania kanału komunikacji pomiędzy przeglądarką klienta a serwerem. Zazwyczaj oznacza się go skrótem HTTPS, ale pod warstwą szyfrowania zlecenia i odpowiedzi są takie same jak w HTTP. Wielu użytkowników zakłada, że dzięki używaniu HTTPS aplikacja lub serwer stają się bezpieczne i odporne na ataki. Jednak trzeba zdawać sobie sprawę, że SSL chroni dane jedynie na trasie między klientem a serwerem, co uniemożliwia ich przechwycenie podczas podsłuchu transmisji. Jednak dane i związana z nimi aplikacja nadal pozostają podatne na atak po stronie użytkownika końcowego.

Protokół SSL został opracowany i zaimplementowany przez Netscape, a jego dalszy rozwój odbywa się w ramach projektu IETF TLS (Transport Layer Protocol).

SSL wykorzystuje mechanizmy klucza publicznego do wymiany kluczy symetrycznych pomiędzy przeglądarką a serwerem. Nie wykonuje on uwierzytelniania w ścisłym tego słowa znaczeniu, a jedynie szyfruje zawartość połączenia miedzy klientem a serwerem. Kiedy klient łączy się z portem SSL na serwerze, serwer wysyła klucz publiczny, którego klient używa do szyfrowania swojego strumienia danych. Ze swojej strony klient robi to samo, co w rezultacie tworzy bezpieczny dwukierunkowy kanał danych. Kanał ten jest używany do wymiany pary kluczy tajnych - losowo wygenerowanych - co pozwala na stosowanie szybkich algorytmów szyfrujących. Każda transmisja wykorzystuje inny klucz. Jeżeli szyfrowanie jednej transmisji zostanie złamane, pozostałe transakcje są bezpieczne.

Protokół składa się z czterech wydzielonych podprotokołów:

  • uzgadniania (SSL Handshake Protocol)
  • zmiany szyfru (SSL Change Cipher)
  • alarmów (SSL Alert Protocol)
  • formatu pakietów (SSL Record Protocol)

Trojany SSL omijają jednak mechanizmy szyfrowanych tuneli wymiany informacji, które są uważane za bezpieczny szkielet dzisiejszych internetowych instytucji bankowych i finansowych. Tak jak każdy trojan, mogą one działać w zakresie uprawnień bezpieczeństwa użytkownika.

Istnieją trzy podstawowe odmiany trojana SSL: kradnący referencje, fałszywy SSL i wykorzystujący samą transakcję.

Odmiana kradnąca referencje jest podobna do klasycznych trojanów kradnących hasła, ale z pewną specyfiką. Zamiast prostego przechwytywania klawiszy użytych przy logowaniu i przesłania ich do napastnika, taki trojan może również przechwytywać takie metody uwierzytelniania, jak klawiatura symulowana na ekranie z losowym wyborem znaków hasła, czy wskazanie wcześniej ustalonego obrazka. Wykonuje to metodą pobierania migawek ekranu, w czasie gdy użytkownik klika na zlokalizowanym przez trojana polu uwierzytelniania. Takie migawki są zbierane, kompresowane i wysyłane zwrotnie do hakera.

Z kolei trojan fałszywego SSL oferuje falsyfikat strony www w miejsce prawdziwej. Po zainstalowaniu trojan ten przeszukuje bufor przeglądarki, wyszukując strony banków i instytucji finansowych, a po znalezieniu generuje lokalnie falsyfikat takiej strony. Następnie, kiedy użytkownik wizytuje prawdziwą witrynę bankową, trojan przechwytuje logowanie i kieruje do lokalnej, fałszywej kopii. Referencje wpisywane przez użytkownika są przesyłane zarówno do banku, jak i do hakera.

Trojan transakcyjny jest najbardziej niebezpieczny i wymyślny. Wyczekuje on, aż użytkownik przejdzie proces uwierzytelniania, eliminując tym samym konieczność omijania lub przechwytywania informacji uwierzytelniania. Trojan ten manipuluje następnie właściwą transakcją.

Trojan Win32Grams E-gold, jaki pojawił się w listopadzie 2004 r., jest pierwszym przykładem trojana typu transakcyjnego. Kiedy użytkownik wykona pomyślnie uwierzytelnianie, trojan otwiera ukryte okno przeglądarki, czyta stan konta użytkownika i tworzy kolejne ukryte okno, które inicjuje sekretny transfer. Stan konta użytkownika jest pomniejszony o niewielką kwotę (aby uniknąć automatycznej kontroli i ostrzeżenia), która przelewana jest do z góry zdefiniowanego odbiorcy.

Wiele trojanów SSL jest zaszyfrowanych i spakowanych, tak że każda ich instancja ma unikatową postać, co utrudnia ich wykrycie metodami wykorzystującymi sygnatury.

Trojan SSL może być praktycznie unieszkodliwiony jedynie wtedy, gdy użytkownik zatrzyma wykonywanie jego kodu lub, kiedy zaimplementowane zostaną mechanizmy ochronne na zapleczu serwerów aplikacyjnych, wychodzące poza ochronę uwierzytelniania.

Możliwość manipulowania transakcją poza SSL może mieć olbrzymie konsekwencje. Odkąd Netscape dziesięć lat temu udostępnił SSL, użytkownicy byli przekonani, że potwierdzająca połączenie SSL ikona jest symbolem bezpieczeństwa prowadzenia biznesu online.

Jednak problem istnieje. SSL jest praktycznie nie do złamania i zapewnia, że połączenie pomiędzy kartą sieciową w pececie a siecią bankową jest bezpieczne. Nie można więc praktycznie przejąć transakcji w fazie połączenia. Jednak zamiast tego może być zastosowany atak typu "man-in-the-end-point". Innymi słowy, trojan przejmuje lub manipuluje transakcją, zanim zostanie ona wysłana przez zabezpieczone połączenie internetowe do banku.

Tradycyjne ataki phishingu wykorzystują naiwność użytkowników końcowych, zachęcając ich do kliknięcia na linku, ale według ekspertów, w najnowszych odmianach tych ataków nawet bardzo ostrożni użytkownicy mogą zostać jego ofiarami.

Chociaż kradzież referencji, czyli informacji związanych z uwierzytelnianiem, pozostaje największym zagrożeniem dla biznesu online, trojany omijające zabezpieczenia SSL stają się szybko ulubionymi narzędziami hakerów-kryminalistów, głównie dlatego, że mogą obchodzić różne schematy uwierzytelniania.


TOP 200