การปอก SSL คืออะไรและจะหลีกเลี่ยงได้อย่างไร

SSL Stripping หรือที่รู้จักในชื่อ การโจมตี SSL Downgrade พูดง่ายๆ คือ ไฮเทค การดักฟังที่ตรวจไม่พบ

เป้าหมายของการโจมตี SSL Stripping คือการทำลายการสื่อสารที่ปลอดภัยโดยที่เหยื่อไม่รับรู้ มันคือทั้งหมดที่เกี่ยวกับการเก็บรวบรวมและการจัดการข้อมูล

SSL Stripping ช่วยให้ผู้โจมตีดาวน์เกรดการเชื่อมต่อของคุณจาก HTTPS ที่ปลอดภัยเป็น HTTP ที่ไม่ปลอดภัย ในทางกลับกัน ทำให้คุณเสี่ยงต่อการถูกสอดแนมและการจัดการข้อมูล

มันค่อนข้างคล้ายกับการดักฟังโทรศัพท์ เพียงแต่เป็นเทคนิคเพิ่มเติมเล็กน้อย

อย่างไรก็ตาม ทั้งการดักฟังและการปอก SSL มี 'คนกลาง' - บุคคลที่ทำการดักฟัง ในกรณีนี้คือแฮ็กเกอร์ที่สร้างพร็อกซีเซิร์ฟเวอร์ที่สกัดกั้นและเปลี่ยนเส้นทางการรับส่งข้อมูลจากคอมพิวเตอร์ของเหยื่อไปยังคอมพิวเตอร์ของพวกเขา พวกเขาสามารถใช้ข้อมูลที่สกัดกั้นเพื่อทำอะไรก็ได้ที่พวกเขาต้องการ

ผู้ใช้มักจะไม่ทราบว่าข้อมูลของตนกำลังถูกหรือถูกบุกรุก เนื่องจากพวกเขาจะลงเอยในหน้าที่ดูเหมือนกับที่พวกเขากำลังค้นหา

นั่นเป็นวิธีที่ SSL Stripping หลอกให้ผู้ใช้เชื่อว่าการเชื่อมต่อของพวกเขาปลอดภัยและเข้ารหัสข้อมูลแล้ว แต่การเชื่อมต่อนั้นไม่ปลอดภัยจริง ๆ และข้อมูลจะถูกส่งเป็นข้อความธรรมดา เพราะการเข้ารหัสจะถูกถอดออกจากมัน นั่นเป็นสาเหตุที่เรียกว่า 'แถบ' ของ SSL

การปอก SSL ทำงานอย่างไร

SSL Stripping เติบโตได้ในสามส่วน การโจมตีไม่สามารถเกิดขึ้นได้หากไม่มีเอนทิตีที่จำเป็นสามรายการ

จะต้องมี:

• ระบบเหยื่อ
• เว็บเซิร์ฟเวอร์ที่ปลอดภัย
• ระบบผู้โจมตี

เมื่อสามชิ้นนี้เข้าที่ วงล้อแห่งการหลอกลวงก็เริ่มหมุน

นี่คือตัวอย่าง

 เจนพยายามซื้อรองเท้าผ่านเว็บไซต์ที่ปลอดภัยและเปิดใช้งาน HTTPS
John - แฮ็กเกอร์ - ตระหนักถึงสิ่งนี้และต้องการจับภาพการสื่อสารและดูข้อมูลที่เป็นความลับของ Jane คิดเลขบัตรเครดิต รหัสผ่าน ฯลฯ
ในการทำเช่นนี้ จอห์นวางตัวเองให้อยู่ตรงกลางของการทำธุรกรรม โดยสร้างความสัมพันธ์กับเหยื่อ สิ่งนี้จะตัดการสื่อสารของ Jane กับเซิร์ฟเวอร์ที่ปลอดภัย
เจนไม่รู้ว่าเกิดอะไรขึ้น เธอจึงซื้อของต่อ พบรองเท้าที่เธอชอบและดำเนินการชำระเงินโดยขอเว็บไซต์ธนาคารบนเบราว์เซอร์ของเธอ
อย่างไรก็ตาม คำขอส่งไปยัง John ซึ่งส่งต่อไปยังเซิร์ฟเวอร์ของเว็บไซต์ธนาคารจริง
เว็บเซิร์ฟเวอร์ส่งการตอบกลับไปยัง John โดยคิดว่าเป็น Jane- ในรูปแบบของ HTTPS URL
จอห์นจึงใช้ทักษะการเขียนโค้ดของเขาเพื่อดาวน์เกรด HTTPS URL ที่ปลอดภัยเป็น HTTP URL ที่ไม่ปลอดภัย และส่งต่อไปให้เจน ซึ่งไม่รู้ว่าเกิดอะไรขึ้นในเบื้องหลัง
เนื่องจากการโจมตีของ John ประสบความสำเร็จ ข้อมูลใดก็ตามที่ Jane ส่งไปจะไม่ถูกเข้ารหัสอีกต่อไป ซึ่งจะทำให้ John เข้าถึงรหัสผ่าน รายละเอียดบัตรเครดิต ที่อยู่บ้าน ฯลฯ ได้อย่างเต็มที่

โปรดทราบว่าข้อมูลของ John ไม่เคยถูกบุกรุกระหว่างการโจมตี เนื่องจากการสื่อสารของเขากับเว็บไซต์นั้นได้รับการปกป้องด้วย SSL

กระบวนการนี้อาจดูใช้เวลานานและใช้เวลานาน แต่ใช้เวลาเพียงไม่กี่นาทีในการเปิดการโจมตี SSL Stripping ที่ประสบความสำเร็จ

วิธีป้องกันเว็บไซต์ของคุณจากการปอก SSL

การตรวจจับหน้าที่ถูกบุกรุกนั้นทำได้ยาก นั่นเป็นสาเหตุหนึ่งที่ทำให้การปอก SSL เป็นอันตรายมาก แต่มีหลายขั้นตอนที่สามารถดำเนินการได้เพื่อปกป้องเว็บไซต์ของคุณจากการถูกโจมตี

ต่อไปนี้เป็นสามวิธีในการป้องกันการโจมตี SSL Stripping

• ใบรับรอง SSL
• HSTS
• รายการโหลดล่วงหน้า HSTS

ใบรับรอง SSL

การทำความเข้าใจว่าใบรับรอง SSL คืออะไรจะช่วยให้เห็นภาพที่ชัดเจนขึ้นว่าใบรับรองเหล่านี้ช่วยป้องกันการโจมตีได้อย่างไร

ใบรับรอง SSL คือไฟล์ข้อมูลขนาดเล็กที่ตรวจสอบข้อมูลประจำตัวของเว็บไซต์และเข้ารหัสข้อมูลที่ส่งไปยังเซิร์ฟเวอร์ เมื่อคุณติดตั้งใบรับรอง SSL บนเว็บเซิร์ฟเวอร์ มันจะเปิดใช้งาน ไอคอนแม่กุญแจที่ปลอดภัย และโปรโตคอล https ซึ่งอนุญาตการเชื่อมต่อที่ปลอดภัยจากเว็บเซิร์ฟเวอร์ไปยังเบราว์เซอร์

HSTS

HTTP Strict Transport Security หรือ HSTS ให้ระดับความปลอดภัยที่สูงขึ้นโดยสั่งให้เบราว์เซอร์คอมพิวเตอร์ของคุณเชื่อมต่อผ่าน HTTPS เท่านั้น นอกจากนี้ยังต้องการให้คอมพิวเตอร์ของคุณไม่ต้องเชื่อมต่อ แม้ว่าจะไม่ได้เข้ารหัสโดยใช้ HTTP

การทำสองสิ่งนี้ HTTS ช่วยให้มั่นใจได้ว่าการโจมตี SSL Stripping ที่เปิดใช้งานบนเบราว์เซอร์ของคุณจะไม่ประสบความสำเร็จ

อย่างไรก็ตาม HTTS ไม่ใช่วิธีการพิสูจน์สัญลักษณ์แสดงหัวข้อย่อยสำหรับการโจมตี SSL Stripping หากคุณถูกโจมตีเมื่อเข้าชมไซต์ครั้งแรก การใช้ HTTS ย้อนหลังอาจไม่เป็นประโยชน์

ด้วยเหตุผลนี้ ขอแนะนำให้คุณก้าวขึ้นไปอีกขั้น ซึ่งนำเราไปสู่อันดับที่สาม

วิธีการ – ใช้รายการโหลดล่วงหน้า HSTS

รายการโหลดล่วงหน้า HSTS

รายการโหลดล่วงหน้า HSTS เป็น รายการ เว็บไซต์ทั่วโลกที่ใช้การเชื่อมต่อ HTTPS เท่านั้น

มันให้ความปลอดภัยอีกระดับหนึ่งแก่เว็บไซต์ของคุณ และขอให้เจ้าของเว็บไซต์ของคุณให้ความรู้เกี่ยวกับรายการและวิธีที่พวกเขาสามารถป้องกันเว็บไซต์จากการโจมตี SSL Stripping

ต้องตั้งค่ารายการโหลดล่วงหน้า HSTS เพื่อให้บริการส่วนหัว HSTS บนโดเมนพื้นฐานสำหรับคำขอ HTTPS ทั้งหมด

จากนั้นจะระบุเบราว์เซอร์ทั้งหมดว่าควรโหลดไซต์ภายใต้โปรโตคอล HTTPS เท่านั้น รูปแบบอื่นๆ ทั้งหมดจะถูกปฏิเสธ

กล่าวอีกนัยหนึ่ง HSTS Preload List ทำงานโดยปฏิเสธที่จะเชื่อมต่อกับเว็บไซต์หากเบราว์เซอร์ตรวจพบ HTTP

ผู้ใช้ทั่วไปอาจไม่สามารถบอกได้ว่าเว็บไซต์ใช้ HSTS, HSTS Preload List หรือมีจุดอ่อนอื่นๆ

ด้วยเหตุผลเหล่านี้ เราขอแนะนำให้คุณพิจารณาตัวเลือกการปกป้องความเป็นส่วนตัวเพิ่มเติมที่ปลอดภัยยิ่งขึ้น เช่น:

• ใบรับรอง SSL ตัวแทน
• VPN
• การศึกษา

ใบรับรอง SSL ตัวแทน

มีใบรับรอง SSL ประเภทต่างๆ Wildcard SSL เป็นประเภทหนึ่ง พวกเขาสามารถรักษาความปลอดภัยโดเมนย่อยได้ไม่จำกัดในใบรับรองเดียว ช่วยเพิ่มระดับการรักษาความปลอดภัยและสามารถเพิ่มค่าใช้จ่ายของใบรับรอง SSL โดยการซื้อทั้งสองอย่างพร้อมกัน เป็นโซลูชันที่ยอดเยี่ยมสำหรับทุกคนที่โฮสต์หรือจัดการไซต์หรือเพจหลายแห่งที่อยู่ในโดเมนเดียวกัน

VPN

Virtual Private Network หรือ VPN สามารถป้องกันการ โจมตี SSL Stripping ได้อย่างง่ายดาย โดยตัดชายที่อยู่ตรงกลางออก

การโจมตีส่วนใหญ่เป็นไปได้เมื่อผู้ใช้แชร์เครือข่ายร่วมกับผู้โจมตี แต่เนื่องจาก VPN เข้ารหัสและปกป้องการรับส่งข้อมูลทางอินเทอร์เน็ตทั้งหมดภายในอุโมงค์ VPN ที่ปลอดภัย แฮ็กเกอร์จะไม่ทราบว่าคุณอยู่ในเครือข่ายเดียวกัน ดังนั้นจึงป้องกันการโจมตีได้

การรักษาความปลอดภัย VPN ช่วยลดหรือขจัดความจำเป็นในการตรวจสอบ HTTP, HTTPS, สัญลักษณ์ล็อคหรือสิ่งอื่น ๆ อย่างต่อเนื่อง ชื่อผู้ใช้ รหัสผ่าน และข้อมูลที่เป็นความลับอื่นๆ ได้รับการคุ้มครองจากผู้ใช้รายอื่น

การศึกษา

การศึกษามีความสำคัญต่อการทำความเข้าใจและหลีกเลี่ยงการปอก SSL

ต่อไปนี้เป็นข้อควรระวังพื้นฐานบางประการที่ผู้ใช้สามารถทำได้เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการปอก SSL

• WiFi : บางครั้งอาจจำเป็นต้องใช้ Wi-Fi สาธารณะเพื่อบันทึกข้อมูลหรือด้วยเหตุผลอื่นๆ ที่ดูเหมือนมีเหตุผล อย่างไรก็ตาม ควรหลีกเลี่ยง Wi-Fi สาธารณะ โดยเฉพาะอย่างยิ่งเมื่อส่งข้อมูลที่ละเอียดอ่อน
• HTTPS ทุกที่: นี่คือส่วนขยายของเบราว์เซอร์ที่บังคับให้เบราว์เซอร์ส่งข้อมูลผ่านเว็บไซต์ HTTPS เท่านั้น ผู้ใช้ควรได้รับการสนับสนุนให้ดาวน์โหลด
• HTTPS : การพิมพ์ https เป็นส่วนหนึ่งของ URL อาจดูเหมือนเป็นการเสียเวลา แต่ก็เป็นเรื่องใหญ่ทีเดียว แม้ว่าคุณจะไม่ได้พิมพ์ก็ตาม ให้ตรวจสอบว่ามีตัวอักษรห้าตัวนั้นอยู่ก่อนที่จะคลิก
• ลิงค์ : พูดถึงไม่คลิก หากลิงก์หรืออีเมลดูน่าสงสัย ก็อาจเป็นเช่นนั้น ดังนั้นโปรดอย่าคลิกเลย
• เครื่องมือตรวจสอบเว็บไซต์: หนึ่งในวิธีที่ดีที่สุดในการจดจำกิจกรรมที่เป็นอันตรายคือการใช้ซอฟต์แวร์ตรวจสอบเว็บไซต์ระดับพรีเมียม ซึ่งจะช่วยส่งการแจ้งเตือนแบบเรียลไทม์เกี่ยวกับกิจกรรมที่ผิดปกติบนเว็บไซต์ของคุณ

สรุป

SSL Stripping เกิดขึ้นในเบื้องหลังและผู้ใช้ส่วนใหญ่มักไม่ทราบ แต่มีข้อมูล SSL พื้นฐานฟรีที่ผู้ใช้และเจ้าของเว็บไซต์สามารถป้องกันตนเองจากการโจมตีได้