Bój się SSL-a!

Okazuje się, że programy antywirusowe można odłożyć już na półkę. Niedługo w Sieci zaczną krążyć "szkodniki", które nie będą widoczne w systemie operacyjnym

Obecność szkodników w systemie operacyjnym da się wykryć przez obserwowanie zachowania komputera. Współczesne antywirusy wyposażono w moduł umożliwiający znalezienie niepożądanej aplikacji również wtedy, gdy nie znajduje się ona w bazie danych sygnatur programu (tzw. ochrona proaktywna). Działanie takiego modułu podlega stałej obserwacji peceta. Gdy jakiś program zachowuje się w sposób niestandardowy, informacja o tym jest przekazywana do firmy antywirusowej. Tam podejrzany kod poddawany jest analizie i specjaliści ustalają, czy rzeczywiście jest on zarażony oraz czy trzeba przygotować „odtrutkę”.

Okazuje się jednak, że wykorzystując właściwości protokołów szyfrowania, można skonstruować szkodnika całkowicie niewidocznego dla programów ochronnych. Co więcej, będzie on w stanie przejąć ważne informacje z komputera swojej ofiary.

SSL na cenzurowanym

Z protokołami SSL/TLS zetknął się każdy, kto choć raz korzystał z internetowej bankowości, dokonywał zakupów w sklepie internetowym bądź wysyłał zaszyfrowanego e-maila. O wykorzystaniu tej rodziny protokołów jesteśmy informowani przez naszą przeglądarkę – pasek adresu zaczyna się ciągiem https:// lub jest podświetlony albo w prawym dolnym rogu pojawia się ikona kłódki. Niestety, protokoły SSL/TLS mają jedną słabość – nie weryfikują sposobu generowania przesyłanych danych (czytaj: sposobu ich szyfrowania). Tym samym w wielu wypadkach można tak zmodyfikować działanie aplikacji, by wysyłany przez nią ciąg przekazywał dodatkowe informacje. Dlatego aplikacje wykorzystujące SSL/TLS są narażone na ataki – autor wirusa jest w stanie odczytać nawet szyfrowaną komunikację.

Router z antywirusem

Można pomyśleć, że taki scenariusz ataku jest tylko teoretyczny – wszak intruz musi zdobyć dostęp do przesyłanych pakietów, co wiąże się z przejęciem kontroli nad pecetem. Musi? Otóż nie. Wystarczy, że będziemy mieli zarażoną przeglądarkę i wirusa w routerze lub modemie ADSL. Wtedy nie pomoże nam nawet program antywirusowy z modułem wykrywającym nowe wirusy. Zauważmy ponadto, że do tej pory nie opłacało się infekować routera, gdyż i tak ważne informacje były przekazywane przez niego w zaszyfrowanej formie. Teraz atakujący jest w stanie odszyfrować komunikaty bez konieczności łamania algorytmów szyfrujących.

Bez szans na obronę

Jak mamy się przed tym bronić? Niestety, sam użytkownik niewiele może zrobić – potrzebna jest reakcja firm produkujących oprogramowanie wykorzystujące SSL/TLS. Modyfikacja łatająca dziurę jest dość prosta i nie zmienia przepływu pakietów – a to zapewnia zgodność z obecnymi wersjami protokołów.

My możemy być jednak rozważniejsi – nie wykonujmy operacji bankowych podczas surfowania w sieci, której nie znamy (kafejki internetowe). Korzystajmy też z usług banków zabezpieczających kluczowe operacje hasłami jednorazowymi (listy, zdrapki, SMS) lub tokenami.

Powinniśmy też dbać o aplikacje zainstalowane na komputerze: każdorazowo sprawdzajmy podpisy cyfrowe instalowanych pakietów binarnych, a te ostatnie pobierajmy jedynie z zaufanych witryn połączeniami jednak szyfrowanymi. Najlepiej, gdy w ten sposób kontrolowana jest całość instalowanego oprogramowania. Uprzywilejowani są użytkownicy Linuksa – im realizację takiej polityki ułatwiają narzędzia: apt, yum czy system portów (FreeBSD).

Close

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.