Атака с удалением SSL выполняется с помощью атаки man-in-the-middle (MitM). Вставляя себя в середину соединения между клиентом и веб-сервером, злоумышленник может контролировать данные, которые поступают к пользователю. Оказавшись там, пользователь может фильтровать пакеты, отправляемые между клиентом и сервером.
Соединение SSL/TLS создается поверх стандартного незашифрованного TCP-соединения. После установления TCP-соединения клиент может либо инициировать сеанс SSL/TLS, либо перейти непосредственно к запросу веб-контента по незашифрованному протоколу HTTP.
При атаке с удалением SSL злоумышленник перехватывает весь трафик между клиентом и сервером и “удаляет” любое содержимое SSL из запросов клиента перед передачей их на сервер. В результате сервер предоставит незашифрованную HTTP-версию страницы, которую злоумышленник отправит клиенту.
В том случае, если сервер предоставляет только веб-страницу по протоколу HTTPS, злоумышленник может создать два отдельных подключения. Они будут поддерживать HTTP-соединение с клиентом, обслуживая запрошенный ими контент. Они могли бы получить доступ к этому контенту, создав свое собственное HTTPS-соединение с сервером и получив доступ к тем же страницам, которые запрашивает пользователь.
Типы атак
При атаке с удалением SSL основной задачей злоумышленника является выполнение атаки «человек посередине», необходимой для перехвата трафика между клиентом и сервером. Есть несколько способов, которыми злоумышленник может это сделать, в том числе:
- Если злоумышленник находится в той же локальной сети (LAN), что и цель, он может выполнить атаку ARP-подмены, которая сопоставляет IP-адрес цели с MAC-адресом злоумышленника. Это приводит к тому, что все данные, предназначенные для цели, вместо этого отправляются на компьютер злоумышленника.
- Компьютер можно настроить на использование прокси-сервера, который будет отправлять весь трафик в определенное место по пути к месту назначения. Если злоумышленник может настроить целевой компьютер на использование сервера злоумышленника в качестве прокси-сервера, он может перехватывать весь трафик просмотра пользователем.
- Злоумышленник может настроить общедоступную сеть Wi-Fi, имитирующую доверенную сеть. Если пользователи подключаются к сети, злоумышленник получает доступ ко всему беспроводному трафику, проходящему через их вредоносный маршрутизатор.
Бизнес-риски атак с удалением SSL
Атаки с удалением SSL устраняют защиту, обеспечиваемую веб-трафиком с помощью SSL/TLS. Это может быть использовано при различных атаках, оказывающих негативное воздействие на бизнес, в том числе:
- Атаки с удалением SSL могут использоваться для того, чтобы обманом заставить пользователей ввести свои учетные данные на незашифрованных веб-сайтах, позволяя злоумышленнику украсть их.
- Расшифровка SSL позволяет злоумышленнику считывать все данные, передаваемые между клиентом и сервером, потенциально раскрывая конфиденциальные данные.
- Злоумышленник может использовать вредоносную версию веб-сайта, содержащую вредоносное ПО или другой фишинговый контент.
- Злоумышленник может внедрить вредоносный контент на веб-страницы, предоставляемые пользователю, потенциально доставляя вредоносное ПО или выполняя другие вредоносные действия.
Как предотвратить атаки с удалением SSL
Атаки с удалением SSL зависят от способности злоумышленника выполнить MitM-атаку и незаметно для пользователя перейти к незашифрованному HTTP-соединению. Некоторые способы защиты от атак с удалением SSL включают в себя:
- HTTP Strict Transport Security (HSTS) требует, чтобы браузер открывал веб-страницы только с использованием HTTPS, предотвращая атаки с удалением SSL.
- Включите защищенные файлы cookie: файлы cookie используются для идентификации пользователей, а доступ к защищенным файлам cookie возможен только на сайтах, использующих HTTPS. Включение защищенных файлов cookie гарантирует, что данные файлов cookie могут быть отправлены только по HTTPS-соединениям.
- Обучите сотрудников выявлять небезопасные сайты, которые не используют HTTPS-соединение.
- Используйте VPN или аналогичное решение для обеспечения безопасного зашифрованного соединения для удаленных пользователей, предотвращая выполнение злоумышленниками MitM-атаки.