Bój się SSL-a!

Obecność szkodników w systemie operacyjnym da się wykryć przez obserwowanie zachowania komputera. Współczesne antywirusy wyposażono w moduł umożliwiający znalezienie niepożądanej aplikacji również wtedy, gdy nie znajduje się ona w bazie danych sygnatur programu (tzw. ochrona proaktywna). Działanie takiego modułu podlega stałej obserwacji peceta. Gdy jakiś program zachowuje się w sposób niestandardowy, informacja o tym jest przekazywana do firmy antywirusowej. Tam podejrzany kod poddawany jest analizie i specjaliści ustalają, czy rzeczywiście jest on zarażony oraz czy trzeba przygotować “odtrutkę”.
archiwum
25.05.2006|Przeczytasz w 3 minuty

Okazuje się jednak, że wykorzystując właściwości protokołów szyfrowania, można skonstruować szkodnika całkowicie niewidocznego dla programów ochronnych. Co więcej, będzie on w stanie przejąć ważne informacje z komputera swojej ofiary.

SSL na cenzurowanym

Z protokołami SSL/TLS zetknął się każdy, kto choć raz korzystał z internetowej bankowości, dokonywał zakupów w sklepie internetowym bądź wysyłał zaszyfrowanego e-maila. O wykorzystaniu tej rodziny protokołów jesteśmy informowani przez naszą przeglądarkę – pasek adresu zaczyna się ciągiem https:// lub jest podświetlony albo w prawym dolnym rogu pojawia się ikona kłódki. Niestety, protokoły SSL/TLS mają jedną słabość – nie weryfikują sposobu generowania przesyłanych danych (czytaj: sposobu ich szyfrowania). Tym samym w wielu wypadkach można tak zmodyfikować działanie aplikacji, by wysyłany przez nią ciąg przekazywał dodatkowe informacje. Dlatego aplikacje wykorzystujące SSL/TLS są narażone na ataki – autor wirusa jest w stanie odczytać nawet szyfrowaną komunikację.

Router z antywirusem

Można pomyśleć, że taki scenariusz ataku jest tylko teoretyczny – wszak intruz musi zdobyć dostęp do przesyłanych pakietów, co wiąże się z przejęciem kontroli nad pecetem. Musi? Otóż nie. Wystarczy, że będziemy mieli zarażoną przeglądarkę i wirusa w routerze lub modemie ADSL. Wtedy nie pomoże nam nawet program antywirusowy z modułem wykrywającym nowe wirusy. Zauważmy ponadto, że do tej pory nie opłacało się infekować routera, gdyż i tak ważne informacje były przekazywane przez niego w zaszyfrowanej formie. Teraz atakujący jest w stanie odszyfrować komunikaty bez konieczności łamania algorytmów szyfrujących.

Bez szans na obronę

Jak mamy się przed tym bronić? Niestety, sam użytkownik niewiele może zrobić – potrzebna jest reakcja firm produkujących oprogramowanie wykorzystujące SSL/TLS. Modyfikacja łatająca dziurę jest dość prosta i nie zmienia przepływu pakietów – a to zapewnia zgodność z obecnymi wersjami protokołów.

My możemy być jednak rozważniejsi – nie wykonujmy operacji bankowych podczas surfowania w sieci, której nie znamy (kafejki internetowe). Korzystajmy też z usług banków zabezpieczających kluczowe operacje hasłami jednorazowymi (listy, zdrapki, SMS) lub tokenami.

Powinniśmy też dbać o aplikacje zainstalowane na komputerze: każdorazowo sprawdzajmy podpisy cyfrowe instalowanych pakietów binarnych, a te ostatnie pobierajmy jedynie z zaufanych witryn połączeniami jednak szyfrowanymi. Najlepiej, gdy w ten sposób kontrolowana jest całość instalowanego oprogramowania. Uprzywilejowani są użytkownicy Linuksa – im realizację takiej polityki ułatwiają narzędzia: apt, yum czy system portów (FreeBSD).

Więcej:szyfrowanie
UdostępnijTwitter