Прошло уже больше года после того, как Internet Engineering Task Force (IETF)
выпустила security extension к протоколу Secure Sockets Layer (SSL) для закрытия
дыры, способной нанести ущерб работе серверов, браузеров, смарт карт, VPN-сетям
и прочим устройствам, а более четверти сайтов, использующих SSL так и не
исправило этой ошибки, оставаясь уязвимыми к атакам вида человек посередине (MITM).
По данным Айвана Ристика, технического директора компании Qualys, более 25%
из 1.2 миллиона веб-сайтов с SSL не прошли "безопасного пересогласования"
(secure renegotiation). Ристик также обнаружил, что 35% из 300 000 ведущих
сайтов из списка Alexa были уязвимы к данному виду атаки, которая попросту
говоря пользуется пробелом в идентификационном процессе и позволяет
злоумышленнику успешно провести атаку и внедрить свой собственный текст в
зашифрованный сеанс SSL.
IETF объединился с Промышленным консорциумом по развитию средств
Интернет-безопасности (Industry Consortium for the Advancement of Security on
the Internet), а также несколькими ведущими ИТ-производителями, включая Google,
Microsoft и PhoneFactor, и предложил для решения этой проблемы использовать
протокол Transport Layer Security (TLS). Само исправление – спецификация к
протоколу TLS - IETF
выпустил в январе 2010.
"Парадоксально то, что уровень безопасности самых посещаемых сайтов ниже
среднего", - Ристик прокомментировал статистику на конференции Infosec в
Лондоне.
Он сообщил, что уязвимые сайты просто не стали устранять это слабое место.
"Безопасное пересогласование можно получить автоматически, после исправления
ошибки. Можно было также внедрить хотя бы временное решение - выключить
пересогласование по клиентскому запросу - но они не сделали и этого".
Марш Рэй из компании PhoneFactor, впервые обнаруживший эту уязвимость,
сообщает, что к сожалению когда дело доходит до устранения ошибками, мы часто
имеем дело со стандартным шаблоном поведения. "Некоторые сайты устраняют
уязвимость сразу при обнаружении, но на этом все внедрение заканчивается", -
заявил Рэй.
"Мы сделали всё, что смогли. С помощью компаний-производителей мы сделали
решение этой проблемы доступным. Мы можем привести лошадь к воде, но заставить
её пить мы не в силах", - подчеркнул Рэй.
Вопрос безопасности SSL был в центре внимания некоторое время назад, сначала
из-за действий
специалиста по компьютерной безопасности Moxie Marlinspike, а потом из-за
исследований Дэна Камински, который обнаружил критические ошибки в технологии
цифровых сертификатов X.509, используемой в SSL.
"Я считаю, что у индивидуальных пользователей нет шанса существенно улучшить
работу SSL. Я предлагаю сконцентрировать внимание на разработчиках библиотек,
таких как OpenSSL, которые могут качественно их улучшить, и на
компаниях-производителях ПО, которые смогут внедрить безопасные настройки по
умолчанию", - сообщил Ристик.
В долгосрочной перспективе помогут и другие попытки обеспечения безопасной
работы SSL. "Я уверен, что перспективный подход Google даст хорошие результаты.
Они совершенствуют системы безопасности. Например их протокол SPDY на 100%
зашифрован по умолчанию. Таким образом все эти люди, переходящие на SPDY, также
получают дополнительную защиту", - заметил Ристик. "В итоге наши общие усилия,
SPDY, DNSSEC, HSTS и более мелкие изменения в протоколах, скоро приведут к
успешным результатам".
