Topowe serwisy internetowe z HTTPS podatne na ataki

90% z 200 tys. najpopularniejszych serwisów internetowych korzystających z HTTPS jest podatnych na jakąś odmianę ataku na SSL - tak przynajmniej wynika z raportu przedstawionego przez organizację Trustworthy Internet Movement (TIM).

Raport przygotowano na podstawie danych, zgromadzonych przez TIM w ramach projektu SSL Pulse - który polega na stałym monitorowaniu tego, jak najpopularniejszych światowe serwisy (wytypowane na podstawie rankingu firmy Alexa) implementują obsługę HTTPS.

SSL Pulse sprawdza m.in., jakie protokoły obsługuje dana witryna (SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, itp.), a także jaka jest długość klucza szyfrującego oraz siła wykorzystywanej kryptografii. Na podstawie tych danych obliczany jest wynik danej witryny zawierający się w przedziale od 0 do 100 punktów - wartość powyżej 80 punktów uznawana jest za "bardzo dobrą".

Blisko połowa z 200 tys. najpopularniejszych witryn obsługujących HTTPS otrzymała właśnie taką ocenę - oznacza to, że korzystają one z odpowiednio "silnych" zabezpieczeń.

Jednocześnie okazało się jednak, że tylko 10% przeanalizowanych serwisów było naprawdę bezpiecznych - tzn. odpornych na wszystkie znane obecnie typy ataków. Aż 75% sprawdzonych serwisów (ok. 150 tys.) był podatnych na znany od kilku miesięcy atak BEAST, dzięki któremu możliwe jest odszyfrowanie tokenów autoryzacyjnych oraz plików cookie z zapytań HTTPS.

Warto podkreślić, że luka pozwalająca na przeprowadzenie tego ataku została załatana w wersji 1.1 protokołu Transport Layer Security (TLS) - ale wciąż występuje ona w wielu starszych protokołach, powszechnie wykorzystywanych przez witryny HTTPS (m.in. z uwagi na chęć zachowania wstecznej kompatybilności).

Analizy przeprowadzone przy pomocy SSL Pulse wykazały również, że ok. 13% z 200 tys. zbadanych witryn obsługuje potencjalnie niebezpieczne renegocjowanie połączeń SSL (może to zostać wykorzystane do przeprowadzenia ataku typu man-in-the-middle).

Przedstawiciele Trustworthy Internet Movement zapowiadają, że zamierzają regularnie aktualizować te statystyki - mają oni nadzieję, że informowanie o problemach z bezpiecznym wdrożeniem obsługi HTTPS skłoni administratorów do przyjrzenia się temu problemowi i wprowadzenia niezbędnych poprawek.

Organizacja poinformowała również o stworzeniu specjalnego zespołu ekspertów - SSL Internet Taskforce - który ma zająć się tworzeniem i promowaniem sposobów rozwiązywania najczęstszych problemów z bezpieczeństwem. W jego skład weszli Michael Barrett, szef działu bezpieczeństwa PayPal; Taher Elgamal, jeden z twórców protokołu SSL; Adam Langley, inżynier odpowiedzialny za obsługę SSL przez oraz serwery Google'a; Moxie Marlinspike, twórca projektu Convergence; Ivan Ristic, twórca Qualys SSL Labs oraz Ryan Hurst, szef IT w firmie GlobalSign.