Co to jest stripping SSL i jak tego uniknąć?

SSL Stripping, znany również jako ataki SSL Downgrade , to w uproszczeniu zaawansowane technologicznie, niewykryte podsłuchiwanie.

Celem ataku SSL Stripping jest zawsze zabicie bezpiecznej komunikacji bez wiedzy ofiary. Wszystko sprowadza się do gromadzenia i manipulacji danymi.

SSL Stripping umożliwia atakującym obniżenie poziomu połączenia z bezpiecznego HTTPS do niezabezpieczonego HTTP. To z kolei naraża Cię na szpiegowanie i manipulację danymi.

Jest to trochę podobne do podsłuchu, tylko trochę bardziej techniczne.

Jednak zarówno podsłuch, jak i SSL Stripping mają „człowieka pośrodku” – osobę, która podsłuchuje. W tym przypadku to haker tworzy serwer proxy, który przechwytuje i przekierowuje ruch z komputera ofiary na ich komputer. Następnie mogą wykorzystać przechwycone informacje, aby zrobić wszystko, co chcą.

Użytkownicy często nie zdają sobie sprawy, że ich dane są lub zostały naruszone, ponieważ trafią na stronę, która wygląda praktycznie tak samo, jak ta, której szukali.

W ten sposób SSL Stripping oszukuje użytkowników, aby uwierzyli, że ich połączenie jest bezpieczne, a dane zaszyfrowane, ale połączenie jest w rzeczywistości niepewne, a dane są wysyłane w postaci zwykłego tekstu, ponieważ szyfrowanie zostałoby z niego usunięte. Dlatego nazywa się to „paskiem” SSL.

Jak działa usuwanie SSL?

SSL Stripping kwitnie trójkami. Atak nie może się odbyć bez obecności trzech wymaganych jednostek.

Tam musi być:

• System ofiary
• Bezpieczny serwer WWW
• System atakujący

Gdy te trzy elementy są na miejscu, koło oszustwa zaczyna się obracać.

Oto przykład.

 Jane próbuje kupić parę butów za pośrednictwem bezpiecznej strony internetowej obsługującej protokół HTTPS.
John – haker – zdaje sobie z tego sprawę i chce przechwycić komunikację i zobaczyć poufne informacje Jane. Pomyśl o numerze karty kredytowej, hasłach itp.
Aby to zrobić, John wchodzi w sam środek transakcji, nawiązując kontakt z ofiarą. To z kolei przerywa komunikację Jane z bezpiecznym serwerem.
Jane, nieświadoma tego, co się dzieje, kontynuuje zakupy; znajduje buty, które jej się podoba i przystępuje do zapłaty, prosząc o stronę bankową w swojej przeglądarce.
Żądanie jednak trafia do Jana, który przekazuje je na serwer rzeczywistej witryny bankowej.
Serwer WWW wysyła odpowiedź do Jana, myśląc, że jest to Jane- w postaci adresu URL HTTPS.
Następnie John wykorzystuje swoje umiejętności kodowania, aby zmienić bezpieczny adres URL HTTPS na niezabezpieczony adres URL HTTP i przekazuje go Jane, która nie ma pojęcia, co wydarzyło się w tle.
Ponieważ atak Johna się powiódł, wszelkie informacje wysyłane przez Jane nie są już szyfrowane. Daje to Johnowi pełny dostęp do jej haseł, danych karty kredytowej, adresu domowego itp.

Zwróć uwagę, że informacje Johna nigdy nie zostaną naruszone podczas ataku, ponieważ jego komunikacja z witryną jest chroniona SSL.

Proces może wydawać się długi i czasochłonny, ale uruchomienie udanego ataku SSL Stripping zajmuje tylko kilka minut.

Jak zabezpieczyć swoją witrynę przed SSL Stripping?

Wykrywanie zhakowanych stron jest trudne. To jeden z powodów, dla których SSL Stripping jest tak niebezpieczny. Istnieje jednak kilka kroków, które można podjąć, aby chronić swoją witrynę przed atakami.

Oto trzy sposoby ochrony przed atakami SSL Stripping.

• Certyfikaty SSL
• HSTS
• Lista wstępnego ładowania HSTS

Certyfikaty SSL

Zrozumienie, czym są certyfikaty SSL, zapewni jaśniejszy obraz tego, w jaki sposób pomagają chronić przed atakami.

Certyfikaty SSL to małe pliki danych, które sprawdzają tożsamość witryny i szyfrują informacje przesyłane na serwer. Po zainstalowaniu certyfikatu SSL na serwerze WWW aktywuje się ikona bezpiecznej kłódki i protokół https , który umożliwia bezpieczne połączenia z serwera WWW do przeglądarki.

HSTS

HTTP Strict Transport Security lub HSTS zapewnia wyższy poziom bezpieczeństwa, instruując przeglądarkę komputera, aby łączyła się tylko przez HTTPS. Wymaga również, aby komputer nigdy nie łączył się, gdy jest niezaszyfrowany, za pomocą protokołu HTTP.

Wykonując te dwie rzeczy, HTTS zapewnia, że ​​ataki SSL Stripping uruchomione w przeglądarce nie powiodą się.

HTTS nie jest jednak metodą kuloodporną przeciwko atakom SSL Stripping. Jeśli zostałeś już zaatakowany podczas pierwszej wizyty na stronie, korzystanie z HTTS z mocą wsteczną może nie być przydatne.

Z tego powodu radzimy podnieść poprzeczkę, co prowadzi nas do naszego trzeciego

Metoda – za pomocą listy preload HSTS.

Lista wstępnego ładowania HSTS

Lista wstępnego ładowania HSTS to globalny spis witryn internetowych korzystających tylko z połączeń HTTPS.

Zapewnia to kolejny poziom bezpieczeństwa Twojej witrynie, a właściciele witryn są zachęcani do edukowania się na liście i tego, jak mogą ją chronić, aby chronić swoje witryny przed atakami SSL Stripping.

Lista wstępnego ładowania HSTS musi być skonfigurowana do obsługi nagłówka HSTS w domenie podstawowej dla wszystkich żądań HTTPS.

Następnie wskaże wszystkim przeglądarkom, że witryna powinna być ładowana tylko w ramach protokołu HTTPS. Wszystkie inne odmiany są odrzucane.

Innymi słowy, lista wstępnego ładowania HSTS działa, odmawiając połączenia ze stroną internetową, jeśli przeglądarka wykryje HTTP.

Przeciętny użytkownik może nie być w stanie stwierdzić, czy witryna korzysta z HSTS, listy wstępnego ładowania HSTS, czy też ma inne słabości.

Z tych powodów zaleca się rozważenie dalszych, bezpieczniejszych opcji ochrony prywatności, takich jak:

• Certyfikat SSL Wildcard
• VPN
• Edukacja

Certyfikat SSL Wildcard

Istnieją różne typy certyfikatów SSL. Wildcard SSL to jeden typ. Są w stanie zabezpieczyć nieograniczoną liczbę poddomen na jednym certyfikacie. Zapewnia dodatkową warstwę bezpieczeństwa i może zostać dodany do kosztu certyfikatu SSL, kupując oba jednocześnie. To świetne rozwiązanie dla każdego, kto hostuje lub zarządza wieloma witrynami lub stronami, które istnieją w tej samej domenie.

VPN

Wirtualna sieć prywatna lub VPN mogą z łatwością zapobiec atakowi SSL Stripping , odcinając człowieka w środku.

Atak jest w większości możliwy, gdy użytkownik dzieli wspólną sieć z atakującym. Ale ponieważ VPN szyfruje i chroni cały ruch internetowy w bezpiecznym tunelu VPN, haker nie będzie wiedział, że jesteś w tej samej sieci, zapobiegając w ten sposób atakowi.

Bezpieczeństwo VPN zmniejsza lub całkowicie eliminuje potrzebę ciągłego sprawdzania HTTP, HTTPS, symboli blokady lub czegokolwiek innego. Nazwy użytkowników, hasła i inne poufne informacje są chronione przed innymi użytkownikami.

Edukacja

Edukacja ma kluczowe znaczenie dla zrozumienia i uniknięcia strippingu SSL.

Oto kilka podstawowych środków ostrożności, które użytkownicy mogą podjąć, aby nie paść ofiarą usuwania SSL.

• Wi-Fi : Czasami istnieje potrzeba korzystania z publicznej sieci Wi-Fi, aby zaoszczędzić na danych lub z innych pozornie uzasadnionych powodów. Należy jednak unikać publicznych sieci Wi-Fi, zwłaszcza podczas wysyłania poufnych informacji.
• HTTPS Everywhere: jest to rozszerzenie przeglądarki, które zmusza przeglądarki do wysyłania informacji tylko przez witryny HTTPS. Użytkownicy powinni być zachęcani do jej pobrania.
• HTTPS : Wpisywanie https jako części adresu URL może wydawać się stratą czasu, ale to dość poważna sprawa. Nawet jeśli go nie wpiszesz, upewnij się, że te pięć liter jest obecnych, zanim je klikniesz.
• Linki : Mówiąc o nieklikaniu. Jeśli link lub wiadomość e-mail wygląda podejrzanie, prawdopodobnie tak jest, więc powstrzymaj się od kliknięcia.
• Narzędzia do monitorowania witryn internetowych: Jednym z najlepszych sposobów rozpoznawania złośliwej aktywności jest użycie oprogramowania do monitorowania witryn premium. Może to pomóc w dostarczaniu alertów w czasie rzeczywistym o nietypowej aktywności w Twojej witrynie.

Streszczenie

SSL Stripping odbywa się w tle i większość użytkowników na ogół nie jest tego świadoma, ale uzbrojeni w podstawowe, bezpłatne informacje SSL użytkownicy i właściciele witryn mogą chronić się przed atakami.