Подмена SSL-сертификатов как средство перехвата зашифрованного трафика Текст научной статьи по специальности «Компьютерные и информационные науки»
Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Акулов А.А.
В данной статье описана проблема подмены SSL-сертификатов. Проанализированы особенности двух способов подмены цифровых сертификатов . Выявлена и обоснована необходимость использования пользовательских браузеров, которые ведут реестр отпечатков открытых ключей сервера, которым они доверяют,а так же использования дополнительных источников сведений о разрешённых ключах и сертификатах.
i Надоели баннеры? Вы всегда можете отключить рекламу.
Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Акулов А.А.
Анализ уязвимостей и моделирование атак на данные трафика “https”
Использование цифровых сертификатов и протоколов SSL/TLS для шифрования данных при облачных вычислениях
Технологии обеспечения безопасности информации при передаче данных между несколькими предприятиями по сети Интернет
Безопасный протокол передачи гипертекста
Установка и настройка специального режима Squid (ssl-bump) на Ubuntu 12. 04 TLS
i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.
Текст научной работы на тему «Подмена SSL-сертификатов как средство перехвата зашифрованного трафика»
МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «СИМВОЛ НАУКИ» № 1-2/2018 ISSN 2410-700Х
студент 2 курса
Донской Государственный Технический Университет г. Ростов-на-Дону, Российская Федерация E-mail: artkulov_ww@mail.ru Научный руководитель: В.В. Галушка к.т.н., доцент кафедры «Вычислительные системы и информационная безопасность» Донской Государственный Технический Университет
г. Ростов-на-Дону, РФ Е-mail: galushkavv@yandex.ru
ПОДМЕНА SSL-СЕРТИФИКАТОВ КАК СРЕДСТВО ПЕРЕХВАТА ЗАШИФРОВАННОГО ТРАФИКА
В данной статье описана проблема подмены SSL-сертификатов. Проанализированы особенности двух способов подмены цифровых сертификатов. Выявлена и обоснована необходимость использования пользовательских браузеров, которые ведут реестр отпечатков открытых ключей сервера, которым они доверяют,а так же использования дополнительных источников сведений о разрешённых ключах и сертификатах.
HTTPS, цифровые сертификаты, сертификационные центры, электронные подписи,
TLS, SSL, конфиденциальность
Как известно, современный интернет во многом опирается на сильную криптографию. Было создано множество протоколов шифрования и областей их применения. Несколько десятилетий назад сильная криптография применялась исключительно спецслужбами и военными. Только им можно было хранить информацию зашифрованной, а остальным нет. До сих пор слышны отголоски этих времен в некоторых законах и подзаконных актах, которые по факту уже не работают. Но что же изменилось?
Появилось программное обеспечение(ПО) с открытым исходным кодом, которое дало в руки любого желающего алгоритмы, позволяющие сохранить приватность переписки и быть уверенным в том, что данные никто не прочитает по дороге к пункту назначения. Пока государство ставило задачи, что же делать с новой угрозой, внезапно сильные алгоритмы шифрования стали аппаратно поддерживаться практически каждым устройством и стали доступны каждому. Протокол HTTPS стал стандартом для любых более или менее значимых соединений. Появился HSTS (HTTP Strict Transport Security) — механизм, активирующий форсированное защищённое соединение через протокол HTTPS. Далее появился Certificate pinning (хранение списка разрешенных для домена сертификатов в исходных текстах браузера) и HTTP Public Key Pinning. Эти методы позволяют избежать незаметной подмены сертификата за счет сравнения с эталонными в защищенном хранилище браузера. Благодаря тому, что браузеры стали преимущественно открытым ПО, повлиять на государственном уровне стало очень сложно. Однако, данная проблема все равно остается актуальной, так как далеко не все сайты используют цифровые сертификаты и тем самым подвергают кражей хакерами данных своих пользователей.
Электронная подпись (ЭП), Электронная цифровая подпись (ЭЦП), Цифровая подпись (ЦП) — реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить отсутствие искажения
МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «СИМВОЛ НАУКИ» № 1-2/2018 ISSN 2410-700Х информации в электронном документе с момента формирования подписи (целостность), принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа.
Цифровой сертификат — выпущенный удостоверяющим центром электронный или печатный документ, подтверждающий принадлежность владельцу открытого ключа или каких-либо атрибутов.
Сертификационный центр (Certification authority) (CA) — центр, которому все доверяют как надежной третьей стороне, подтверждающей подлинность ключей шифрования с помощью сертификатов электронной подписи. Так как удостоверяющих центров много, то в случае, если CA будет замечен за сбытом сертификатов для Man in the Middle (MitM), он будет немедленно добавлен в черные списки всех операционных систем и браузеров. Поэтому CA ведут себя крайне осторожно.
HTTPS (аббр. от англ. HyperText Transfer Protocol Secure) — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. Данные в протоколе HTTPS передаются поверх криптографических протоколов SSL или TLS. HTTPS не является отдельным протоколом. Это обычный HTTP, работающий через шифрованные транспортные механизмы SSL и TLS. Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения — от снифферских атак и атак типа MitM, при условии, что будут использоваться шифрующие средства и сертификат сервера проверен и ему доверяют.
TLS (англ. Transport Layer Security — Протокол защиты транспортного уровня), как и его предшественник SSL (англ. Secure Sockets Layer — транспорт защищённых сокетов) — криптографические протоколы, обеспечивающие защищённую передачу данных между узлами в сети Интернет. TLS и SSL используют асимметричное шифрование для аутентификации, симметричное шифрование для конфиденциальности и коды аутентичности сообщений для сохранения целостности сообщений.
Данный протокол широко используется в приложениях, работающих с сетью Интернет, таких как веб-браузеры, работа с электронной почтой, обмен мгновенными сообщениями и IP-телефония (VoIP).
SSL — криптографический протокол, который подразумевает более безопасную связь. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений. Протокол широко использовался для обмена VoIP в таких приложениях, как электронная почта, интернет-факс и др.
Существуют различные способы подмены цифровых сертификатов для сниффинга (перехвата пакетов между двумя компьютерами):
1. Ручное добавление сертификатов в отладочном прокси-сервере
2. Подмена сертификатов с помощью специального ПО
Рассмотрим первый способ на примере работы отладочного прокси Fiddler с возможностью добавления скрипта.
Fiddler — прокси, который работает с трафиком между Вашим компьютером и удаленным сервером, и позволяет инспектировать и менять его. Так как HTTPS шифруется от браузера до сервера-получателя, поэтому по умолчанию Fiddler не имеет доступа к содержимому HTTPS-запросов. Чтобы его получить, Fiddler должен сыграть роль хакера-перехватчика: расшифровывать запросы, и потом отправлять дальше. В такой прокси должен быть загружен сертификат и секретный ключ, позволяющие подписывать другие сертификаты (например, годится так называемый промежуточный сертификат удостоверяющего центра, выпущенный для этих целей).
Второй способ заключается в использовании специального ПО. Существуют программы, с помощью которых можно отслеживать трафик (сниферить). Принцип таких программ — отловить пакеты, которые передаются между компьютерами в одной сети. Довольно популярными сниферами являются — Cain&Abel, WireShark, WinSniff. Их очень много и у каждого есть свои плюсы и свои минусы. Такие программы работают по принципу MitM, они производят подмену сертификата и «прослушивают трафик» находясь между сервером и компьютером-жертвой.
Проводя эксперимент, мы использовали программу Cain&Abel. Были замечены уязвимости на некоторых сайтах. Так же было замечено, что будет произведена подмена сертификата или нет, зависит и от браузера.
МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «СИМВОЛ НАУКИ» № 1-2/2018 ISSN 2410-700Х Таким образом, подмена сертификатов является довольно опасной, так как злоумышленник сможет получить весь ваш сетевой трафик, однако не всегда работает для HTTPS при наличии некоторых дополнительных мер: например, установление TLS-соединения требует взаимной аутентификации, и перехватывающему узлу недоступен клиентский секретный ключ (либо ключи УЦ, удостоверяющего клиентский ключ); или — пользовательский браузер ведёт реестр отпечатков открытых ключей сервера, которым он доверяет; или — пользователь применяет дополнительные источники сведений о разрешённых ключах и сертификатах, которые недоступны для подмены на перехватывающем узле (таким источником может служить DNS, либо другая база данных). Список использованной литературы:
1. Использование сниффера Cain & Abel [Электронный ресурс]. — Режим доступа: http://itguy-note.blogspot.ru/2010/03/cain-abel.html (Дата обращения 23.12.2017)
2. Популярно о перехвате HTTPS [Электронный ресурс]. — Режим доступа: https://dxdt.ru/2013/08/02/6066/ (Дата обращения 23.12.2017)
3. Галушка В.В. Сети и системы передачи данных: учебное пособие. — Ростов н/Д: Издательский центр ДГТУ, 2016. — 105 с.
4. Сети и системы передачи информации: телекоммуникационные сети : учебник и практикум для академического бакалавриата / К. Е. Самуйлов [и др.] ; под ред. К. Е. Самуйлова, И. А. Шалимова, Д. С. Кулябова. — М. : Издательство Юрайт, 2017. — 363 с.
студент 4 курса группы КСМ10-71Б Мытищинский филиал МГТУ им. Н.Э. Баумана., кафедра «Колесные машины»
Россия, Московская обл., г. Мытищи, E-mail: dmihev@yandex.ru Парубец П.Е. студент 4 курса группы КСМ10-71Б Мытищинский филиал МГТУ им. Н.Э. Баумана., кафедра «Колесные машины»
Россия, Московская обл., г. Мытищи, E-mail: pparubez@mail.ru Авдеенко Р.С. студент 4 курса группы КСМ10-71Б Мытищинский филиал МГТУ им. Н.Э. Баумана., кафедра «Колесные машины»
Россия, Московская обл., г. Мытищи, E-mail: ramanavdeenko@yandex.ru Научный руководитель: Клубничкин Е.Е.
Мытищинский филиал МГТУ им. Н.Э. Баумана., Россия, Московская обл., г. Мытищи,
ВЗАИМОДЕЙСТВИЕ КОЛЕС ЛЕСОТРАНСПОРНЫХ МАШИН С ОПОРНОЙ ПОВЕРХНОСТЬЮ
Особенности физических процессов, составляющих суть взаимодействия движителей лесотранспортных машин с опорной поверхностью при движении, представляют интерес с двух точек
Neonlightinc что это
Сообщения: 4
Благодарности: 0
Прошу помочь в таком вопросе.
У меня свой центр сертификации на базе OpenSSL.
Корневой сертификат расставлен на все компьютеры через GPO.
На большинстве компьютеров сертификат сайтов определяется верно, как выданный моим центром сертификации.
Но на некоторых он определяется как выданный каким-то NeonLightInc.
Свои сертификаты мне необходимы для того чтобы можно было авторизоваться по клиентским сертификатам без ввода паролей.
Прошу помочь решить данную головоломку.
Возможна незаметная подмена SSL сертификата?
Привет!
Несколько человек работает с серьезной информацией и есть основания их митмить.
Возможна ли незаметная подмена сертификата (чтобы зеленый замочек в браузере оставался неизменным)?
Или только подсунуть свой серт в доверенные через AD?
- Вопрос задан более трёх лет назад
- 7329 просмотров
Комментировать
Решения вопроса 0
Ответы на вопрос 4
Если ты не админ их ПК (т.е. или физический доступ или доменный) — то нет.
Ответ написан более трёх лет назад
Комментировать
Нравится 1 Комментировать
Есть подозрения о выдаче произвольных сертификатов по запросу, на государственном уровне. Certificate and Public Key Pinning и Certificate Transparency защищают от этого, но редко встречаются и создают дополнительные сложности.
В целом идея PKI вне предприятия/госструктуры — довольно порочна.
Ответ написан более трёх лет назад
Комментировать
Нравится Комментировать
Developer, ex-admin
Прозрачный SSL прокси с подменой (squid). Если на прокси повесить нормальный сертификат, то замочек останется зеленым. Подмену, конечно, можно обнаружить посмотрев на сертификат, но для этого надо знать какой сертификат был до этого, да и кто смотрит на них?
Можно и не подменять, но при этом контролировать: habrahabr.ru/post/267851
Ответ написан более трёх лет назад
Влад Животнев @inkvizitor68sl
Нет, невозможно «на прокси повесить нормальный сертификат». Только свой СА, а его придется добавлять в конечные системы, что сделать без доступа на запись в хранилище проблематично (но если есть доступ на комп — это уже не mitm, можно из браузера всё нужное достать).
Да, согласен, нормальный сертификат вряд ли получится добыть в общем случае. Хотя кто знает, какой случай у автора вопроса.
Возможен еще вариант, описанный тут habrahabr.ru/post/111714
Но тут уже у клиента SSL отсутствует и это будет легко обнаружить, если пользователь достаточно опытный.