Topowe serwisy internetowe z HTTPS podatne na ataki
- Antoni Steliński,
- 27.04.2012, godz. 13:26
90% z 200 tys. najpopularniejszych serwisów internetowych korzystających z HTTPS jest podatnych na jakąś odmianę ataku na SSL - tak przynajmniej wynika z raportu przedstawionego przez organizację Trustworthy Internet Movement (TIM).
Polecamy:
SSL Pulse sprawdza m.in., jakie protokoły obsługuje dana witryna (SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, itp.), a także jaka jest długość klucza szyfrującego oraz siła wykorzystywanej kryptografii. Na podstawie tych danych obliczany jest wynik danej witryny zawierający się w przedziale od 0 do 100 punktów - wartość powyżej 80 punktów uznawana jest za "bardzo dobrą".
Blisko połowa z 200 tys. najpopularniejszych witryn obsługujących HTTPS otrzymała właśnie taką ocenę - oznacza to, że korzystają one z odpowiednio "silnych" zabezpieczeń.
Jednocześnie okazało się jednak, że tylko 10% przeanalizowanych serwisów było naprawdę bezpiecznych - tzn. odpornych na wszystkie znane obecnie typy ataków. Aż 75% sprawdzonych serwisów (ok. 150 tys.) był podatnych na znany od kilku miesięcy atak BEAST, dzięki któremu możliwe jest odszyfrowanie tokenów autoryzacyjnych oraz plików cookie z zapytań HTTPS.
Warto podkreślić, że luka pozwalająca na przeprowadzenie tego ataku została załatana w wersji 1.1 protokołu Transport Layer Security (TLS) - ale wciąż występuje ona w wielu starszych protokołach, powszechnie wykorzystywanych przez witryny HTTPS (m.in. z uwagi na chęć zachowania wstecznej kompatybilności).
Analizy przeprowadzone przy pomocy SSL Pulse wykazały również, że ok. 13% z 200 tys. zbadanych witryn obsługuje potencjalnie niebezpieczne renegocjowanie połączeń SSL (może to zostać wykorzystane do przeprowadzenia ataku typu man-in-the-middle).
Przedstawiciele Trustworthy Internet Movement zapowiadają, że zamierzają regularnie aktualizować te statystyki - mają oni nadzieję, że informowanie o problemach z bezpiecznym wdrożeniem obsługi HTTPS skłoni administratorów do przyjrzenia się temu problemowi i wprowadzenia niezbędnych poprawek.
Organizacja poinformowała również o stworzeniu specjalnego zespołu ekspertów - SSL Internet Taskforce - który ma zająć się tworzeniem i promowaniem sposobów rozwiązywania najczęstszych problemów z bezpieczeństwem. W jego skład weszli Michael Barrett, szef działu bezpieczeństwa PayPal; Taher Elgamal, jeden z twórców protokołu SSL; Adam Langley, inżynier odpowiedzialny za obsługę SSL przez Google Chrome oraz serwery Google'a; Moxie Marlinspike, twórca projektu Convergence; Ivan Ristic, twórca Qualys SSL Labs oraz Ryan Hurst, szef IT w firmie GlobalSign.