Прошло уже больше года после того, как Internet Engineering Task Force (IETF)
выпустила security extension к протоколу Secure Sockets Layer (SSL) для закрытия
дыры, способной нанести ущерб работе серверов, браузеров, смарт карт, VPN-сетям
и прочим устройствам, а более четверти сайтов, использующих SSL так и не
исправило этой ошибки, оставаясь уязвимыми к атакам вида человек посередине (MITM).

По данным Айвана Ристика, технического директора компании Qualys, более 25%
из 1.2 миллиона веб-сайтов с SSL не прошли  "безопасного пересогласования"
(secure renegotiation). Ристик также обнаружил, что 35% из 300 000 ведущих
сайтов из списка Alexa были уязвимы к данному виду атаки, которая попросту
говоря пользуется пробелом в идентификационном процессе и позволяет
злоумышленнику успешно провести атаку и внедрить свой собственный текст в
зашифрованный сеанс SSL.

IETF объединился с Промышленным консорциумом по развитию средств
Интернет-безопасности (Industry Consortium for the Advancement of Security on
the Internet), а также несколькими ведущими ИТ-производителями, включая Google,
Microsoft и PhoneFactor, и предложил для решения этой проблемы использовать
протокол Transport Layer Security (TLS). Само исправление – спецификация к
протоколу TLS — IETF

выпустил в январе 2010
.

"Парадоксально то, что уровень безопасности самых посещаемых сайтов ниже
среднего", — Ристик прокомментировал статистику на конференции Infosec в
Лондоне.

Он сообщил, что уязвимые сайты просто не стали устранять это слабое место.
"Безопасное пересогласование можно получить автоматически, после исправления
ошибки. Можно было также внедрить хотя бы временное решение — выключить
пересогласование по клиентскому запросу — но они не сделали и этого".

Марш Рэй из компании PhoneFactor, впервые обнаруживший эту уязвимость,
сообщает, что к сожалению когда дело доходит до устранения ошибками, мы часто
имеем дело со стандартным шаблоном поведения. "Некоторые сайты устраняют
уязвимость сразу при обнаружении, но на этом все внедрение заканчивается", —
заявил Рэй.

"Мы сделали всё, что смогли. С помощью компаний-производителей мы сделали
решение этой проблемы доступным. Мы можем привести лошадь к воде, но заставить
её пить мы не в силах", — подчеркнул Рэй.

Вопрос безопасности SSL был в центре внимания некоторое время назад, сначала
из-за действий
специалиста по компьютерной безопасности Moxie Marlinspike
, а потом из-за
исследований Дэна Камински, который обнаружил критические ошибки в технологии
цифровых сертификатов X.509, используемой в SSL.

"Я считаю, что у индивидуальных пользователей нет шанса существенно улучшить
работу SSL. Я предлагаю сконцентрировать внимание на разработчиках библиотек,
таких как OpenSSL, которые могут качественно их улучшить, и на
компаниях-производителях ПО, которые смогут внедрить безопасные настройки по
умолчанию", — сообщил Ристик.

В долгосрочной перспективе помогут и другие попытки обеспечения безопасной
работы SSL. "Я уверен, что перспективный подход Google даст хорошие результаты.
Они совершенствуют системы безопасности. Например их протокол SPDY на 100%
зашифрован по умолчанию. Таким образом все эти люди, переходящие на SPDY, также
получают дополнительную защиту", — заметил Ристик. "В итоге наши общие усилия,
SPDY, DNSSEC, HSTS и более мелкие изменения в протоколах, скоро приведут к
успешным результатам".



Оставить мнение