O que é a remoção de SSL e como evitá-la?

SSL Stripping, também conhecido como ataques SSL Downgrade , é, em termos simples, escuta de alta tecnologia e não detectada.

O objetivo de um ataque de remoção de SSL é sempre eliminar a comunicação segura sem que a vítima perceba. É tudo uma questão de coleta e manipulação de dados.

A remoção de SSL permite que os invasores façam o downgrade de sua conexão de HTTPS seguro para HTTP inseguro. Isso, por sua vez, o deixa vulnerável a espionagem e manipulação de dados.

É um pouco semelhante à escuta telefônica, só que um pouco mais técnico.

No entanto, tanto a escuta telefônica quanto a remoção de SSL têm um 'man-in-the-middle' - a pessoa que faz a escuta. Nesse caso, é o hacker, que cria um servidor proxy que intercepta e redireciona o tráfego do computador da vítima para o seu. Eles podem usar as informações interceptadas para fazer quase tudo o que quiserem.

Os usuários muitas vezes não percebem que suas informações estão sendo ou foram comprometidas, porque eles acabarão em uma página que se parece praticamente com a que estavam procurando.

É assim que SSL Stripping engana os usuários fazendo-os acreditar que sua conexão é segura e seus dados criptografados, mas a conexão é realmente insegura e os dados são enviados em texto simples, porque a criptografia teria sido removida dele. É por isso que é chamado de 'faixa' SSL.

Como funciona a remoção de SSL?

A remoção de SSL prospera em três. Um ataque não pode acontecer sem a presença de três entidades necessárias.

Tem que haver:

• O sistema da vítima
• Um servidor web seguro
• O sistema de atacantes

Com essas três peças no lugar, a roda do engano começa a girar.

Aqui está um exemplo.

 Jane está tentando comprar um par de sapatos por meio de um site seguro habilitado para HTTPS.
John - o hacker - percebe isso e deseja capturar a comunicação e ver as informações confidenciais de Jane. Pense no número do cartão de crédito, senhas, etc.
Para fazer isso, John se coloca no meio da transação, estabelecendo uma conexão com a vítima. Isso então corta a comunicação de Jane com o servidor seguro.
Jane, sem saber do que está acontecendo, continua suas compras; encontra os sapatos de que gosta e começa a pagar solicitando um site de banco em seu navegador.
A solicitação, entretanto, vai para John, que a encaminha para o servidor do site do banco real.
O servidor web envia a resposta para John, pensando que é Jane- na forma de um URL HTTPS.
John então começa a usar suas habilidades de codificação para fazer o downgrade do URL HTTPS seguro para um URL HTTP inseguro e passa isso para Jane, que não tem ideia do que aconteceu em segundo plano.
Como o ataque de John foi bem-sucedido, quaisquer informações que Jane enviar não são mais criptografadas. Isso dá a John acesso total às senhas, detalhes do cartão de crédito, endereço residencial, etc.

Observe com atenção que as informações de John nunca são comprometidas durante o ataque, pois sua comunicação com o site é protegida por SSL.

O processo pode parecer longo e demorado, mas leva apenas alguns minutos para iniciar um ataque de remoção de SSL bem-sucedido.

Como evitar que seu site seja removido de SSL

Detectar páginas comprometidas é difícil. Essa é uma das razões pelas quais a remoção de SSL é tão perigosa. Mas existem várias etapas que podem ser executadas para proteger seu site contra ataques.

Aqui estão três maneiras de se proteger contra ataques de remoção de SSL.

• Certificados SSL
• HSTS
• Lista de pré-carga HSTS

Certificados SSL

Compreender o que são certificados SSL fornecerá uma imagem mais clara de como eles ajudam a proteger contra ataques.

Os certificados SSL são pequenos arquivos de dados que verificam a identidade de um site e criptografam as informações enviadas a um servidor. Quando você instala um certificado SSL em um servidor web, ele ativa o ícone de cadeado seguro e o protocolo https que permite conexões seguras de um servidor web a um navegador.

HSTS

O HTTP Strict Transport Security ou HSTS fornece um nível mais alto de segurança, instruindo o navegador do computador a se conectar apenas por meio de HTTPS. Também requer que o seu computador nunca se conecte, enquanto não criptografado, usando HTTP.

Ao fazer essas duas coisas, o HTTS garante que os ataques SSL Stripping lançados em seu navegador não sejam bem-sucedidos.

No entanto, o HTTS não é um método à prova de balas contra ataques de remoção de SSL. Se você já foi atacado quando visitou um site pela primeira vez, usar o HTTS retroativamente pode não ser útil.

Por este motivo, é aconselhável chutar as coisas para um nível, o que nos leva ao nosso terceiro

Método - usando uma lista de pré-carga HSTS.

Lista de pré-carga HSTS

Uma lista de pré-carregamento HSTS é um inventário global de sites que usam apenas conexões HTTPS.

Ele fornece outro nível de segurança para o seu site e os proprietários de sites são encorajados a se informarem sobre a lista e como eles podem fazer isso para proteger seus sites contra ataques de remoção de SSL.

A lista de pré-carregamento HSTS deve ser configurada para servir um cabeçalho HSTS no domínio base para todas as solicitações HTTPS.

Em seguida, indicará a todos os navegadores que o site deve ser carregado apenas no protocolo HTTPS. Todas as outras variações são rejeitadas.

Em outras palavras, a lista de pré-carregamento do HSTS funciona recusando-se a se conectar a um site se o navegador detectar um HTTP.

O usuário médio pode não ser capaz de dizer se um site usa o HSTS, a lista de pré-carregamento do HSTS ou tem outros pontos fracos.

Por esses motivos, recomendamos que você considere outras opções de proteção de privacidade mais seguras, como:

• Certificado SSL curinga
• VPN
• Educação

Certificado SSL curinga

Existem diferentes tipos de certificados SSL. O SSL curinga é um tipo. Eles podem proteger subdomínios ilimitados em um único certificado. Ele fornece uma camada adicional de segurança e pode ser adicionado ao custo do Certificado SSL, adquirindo ambos ao mesmo tempo. É uma ótima solução para quem hospeda ou gerencia vários sites ou páginas que existem no mesmo domínio.

VPN

Uma Rede Privada Virtual ou VPN pode facilmente impedir um ataque SSL Stripping , eliminando o homem no meio.

Um ataque é principalmente possível quando um usuário está compartilhando uma rede comum com o invasor. Mas, como a VPN criptografa e protege todo o tráfego da Internet em um túnel VPN seguro, o hacker não saberá que você está na mesma rede, evitando assim um ataque.

A segurança da VPN diminui ou remove completamente a necessidade de verificar constantemente se há HTTP, HTTPS, símbolos de bloqueio ou qualquer outra coisa. Nomes de usuário, senhas e outras informações confidenciais são protegidos de outros usuários.

Educação

A educação é crucial para compreender e evitar a remoção de SSL.

Aqui estão algumas precauções básicas que os usuários podem tomar para evitar serem vítimas de remoção de SSL.

• WiFi : às vezes há uma necessidade de usar o Wi-Fi público para economizar dados ou por outros motivos aparentemente válidos. No entanto, o Wi-Fi público deve ser evitado, principalmente ao enviar informações confidenciais.
• HTTPS Everywhere: Esta é uma extensão de navegador que força os navegadores a enviar informações apenas por sites HTTPS. Os usuários devem ser encorajados a baixá-lo.
• HTTPS : digitar https como parte de um URL pode parecer uma perda de tempo, mas é uma grande coisa. Mesmo se você não digitar, certifique-se de que essas cinco letras estejam presentes antes de clicar nele.
• Links : Falando em não clicar. Se um link ou e-mail parecer suspeito, provavelmente é, então resista à tentação de clicar nele.
• Ferramentas de monitoramento de sites: uma das melhores maneiras de reconhecer atividades maliciosas é usar um software premium de monitoramento de sites. Isso pode ajudar a fornecer alertas em tempo real sobre atividades incomuns em seu site.

Resumo

A remoção de SSL ocorre em segundo plano e a maioria dos usuários geralmente não está ciente, mas armados com as informações básicas de SSL gratuitas, os usuários e proprietários de sites podem se proteger contra ataques.