Предупреждение, опубликованное на прошлой неделе группой CERT, работающей под эгидой министерства внутренней безопасности США, подкрепило выводы университетских исследователей о негативном влиянии инструментов проверки HTTPS на TLS-потоки.

В алерте US-CERT сказано, что использование на предприятиях комплексных средств контроля трафика или других ИБ-инструментов с аналогичной функциональностью зачастую снижает уровень защищенности коммуникаций между клиентами и серверами. «Все системы, располагающиеся за продуктом для перехвата коммуникаций по HTTPS, потенциально уязвимы», — предупреждают участники US-CERT.

Выполняя свои функции, инструмент проверки HTTPS, установленный между клиентом и сервером, расшифровывает трафик, а затем зашифровывает его вновь и направляет получателю. Сетевой администратор при этом может удостоверить лишь безопасность соединения между клиентом и блоком контроля, который в данном случае работает как прокси в положении MitM. Сам клиент в итоге лишается возможности проверить валидность сертификатов сервера и обнаружить враждебный перехват на участке между прокси и целевым сервером.

В отчете об исследовании «The Security Impact of HTTPS Interception» («О влиянии перехвата HTTPS на безопасность»), проведенном маститыми академиками и IT-профессионалами и опубликованном в январе, отмечено, что специализированные средства контроля «существенным образом снижают» надежность TLS-соединений. Как обнаружили исследователи, в 62% случаев использование таких инструментов привело к поражению в защищенности трафика, а в 58% соединений между инструментом инспекции и целевым сервером были привнесены «серьезные уязвимости».

«Поскольку продукт проверки HTTPS имеет дело с протоколами, шифрами и цепочками сертификатов, он должен выполнять необходимые процедуры валидации HTTPS, — сказано в алерте US-CERT. — Отсутствие надлежащей проверки подлинности или неадекватное представление результатов валидации повышают шансы на успех злонамеренной MitM-атаки на клиент».

Два года назад институт программной инженерии при университете Карнеги — Меллона опубликовал результаты собственного исследования рисков при использовании инструментов контроля HTTPS. Автор этой давней блог-записи Уилл Дорман (Will Dormann) пояснил для Threatpost, что проверка HTTPS должна обеспечивать видимость зашифрованного трафика, но за это удобство приходится платить.

«На стороне клиента можно увидеть лишь то, что происходит между ним и устройством, осуществляющим проверку, — рассказывает Дорман. — О том, что делается по другую сторону этого устройства, клиент не имеет ни малейшего представления. Браузер при этом может сообщить, что в данном случае используется сильный шифр, TLS 1.2 или SHA256, однако в том месте, где развернуто средство проверки, может возникнуть проблема, а с клиента не увидеть, что творится по ту сторону. Далее может использоваться устаревшая версия SSL, или слабый шифр, и все это, происходящее за кулисами, создает угрозу для трафика».

«Своей блог-записью я вовсе не хотел сказать, что от проверки HTTPS нужно всем отказаться или что сама идея вообще порочна, — продолжает Дорман. — Эти инструменты позволяют увидеть то, что не разглядишь другими методами». В качестве примера собеседник Threatpost привел инфицирование клиента, использующего HTTPS: в этом случае обзор зашифрованного канала позволит сетевому администратору быстро обнаружить проблему. «Я хотел лишь довести до всеобщего сведения, что за возможность проверки HTTPS придется расплачиваться, и платой в итоге будет снижение уровня безопасности HTTPS», — подчеркнул исследователь.

«Использование устройств-перехватчиков подрывает саму концепцию HTTPS, а именно ту возможность, которую призван обеспечивать TLS, — говорит Дорман. — Тот ли это сервер, с которым должен вестись обмен? Если при этом осуществляется проверка HTTPS, клиент общается не с сервером, а с устройством проверки».

Представитель Venafi, вендора платформ для проверки HTTPS, отметил, что в алерте US-CERT не учтена важная роль, которую играют подобные процедуры. «Речь идет не просто об использовании служащим Интернета, а об угрозах со стороны веб-приложений, которые стараются скрыть свое присутствие, перемещаться и распространяться по сети, — заявил вице-президент Venafi по ИБ-стратегии Кевин Боцек (Kevin Bocek). — Инспекция SSL нужна организациям для проверки коммуникаций приложений, между сетями, облачными сервисами, дата-центрами и IoT. Без проверки такого обмена технологии защиты от кибератак, на которые полагаются бизнес-структуры, в значительной мере утратят свою эффективность. Проверка SSL — единственный способ защититься от угроз, скрывающихся во входящем и межсетевом зашифрованном трафике».

В январском отчете, написанном исследователями из Google, Mozilla и Cloudflare в соавторстве с сотрудниками университетов Мичигана, Иллинойса, Калифорнии в Беркли и Международного института информатики (ICSI), сказано, что многие средства контроля HTTPS не очень тщательно выверяют цепочку сертификатов, прежде чем направить данные с клиента по адресу. Аналогичным образом ошибки верификации могут вкрасться в ответ, возвращенный клиенту, который будет полагать, что операции идут в соответствии с планом. «Организации, использующие продукт для проверки HTTPS, должны быть уверены, что тот валидирует цепочки сертификатов надлежащим образом и передает на клиент все предупреждения и информацию об ошибках», — гласит алерт US-CERT.

Дорман со своей стороны отметил, что определить злонамеренное использование подобного сценария трудно, однако, если автору атаки известно о наличии прокси, осуществляющего перехват, он сможет понять, что с клиента обнаружить такую атаку вряд ли возможно.

«Для всех, кто осуществляет проверку или перехват HTTPS, важно, чтобы клиент был не в состоянии обнаружить стороннее вмешательство, — поясняет эксперт. — При непосредственной связи с сервером браузер предупреждает о слабом криптошифре или недоверенном УЦ, и пользователь понимает, что что-то идет не так. При использовании в сетях и на предприятиях средств, осуществляющих проверку HTTPS, проблема заключается в том, что клиенты утрачивают возможность сигнализировать о подозрительной активности».

Категории: аналитика, Главное, кибероборона

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *