کاهش امنیت با ابزارهای بررسی ترافیک HTTPS

0
80
HTTPS

بسیاری از محصولات امنیتی که به بررسی ترافیک HTTPS می‌پردازند، قادر به تایید اعتبار Certificate‌ سرورها نمی‌باشند.

طبق هشدار موسسه‌ی امنیتی US-CERT، سازمان‌هایی که محصولات امنیتی را جهت بررسی ترافیک‌های HTTPS به کار می‌گیرند، ایمنی اتصال‌های رمزگذاری‌شده‌ی کاربران خود را به صورت ناخواسته از بین می‌برند و آنان را در معرض حملات Man-in-the-Middle قرار می‌دهند.

US-CERT اعلام کرده است که طبق تحقیقات جدید این موسسه، محصولات بررسی‌کننده‌ی ترافیک HTTPS، امکان حفظ امنیت موجود در اتصال‌های مستقیم میان Client‌ها و سرورها را ندارند.

در روند بررسی HTTPS، ترافیک رمزگذاری‌شده که از سمت یک سایت HTTPS وارد می‌شود مورد بررسی قرار می‌گیرد تا از عاری بودن آن از تهدیدات و بدافزارها اطمینان حاصل گردد. این فرآیند با قطع اتصال Client از سرور HTTPS و ایجاد ارتباط به نمایندگی از Client آغاز می‌شود، سپس ترافیک ارسالی به Client با یک Certificate متفاوت رمزگذاری می‌شود که به صورت Local ایجاد شده است. محصولاتی که این روند را پی می‌گیرند، در حقیقت به عنوان پروکسی‌های Man-in-the-Middle عمل می‌کنند.

اتصال HTTPS در یک محیط سازمانی می‌تواند چندین بار قطع و مجددا رمزگذاری گردد. این فرآیند در شبکه‌ها‌ی Perimeter  با استفاده از تجهیزات امنیتی موجود در Gateway یا سیستم‌های محافظت از انتشار داده‌ها و در سیستم‌های Endpoint از طریق برنامه‌های آنتی‌ویروس انجام می‌شود که ترافیک‌های HTTPS را برای کشف بدافزار بررسی می‌نمایند.

مشکل اینجاست که از این مرحله به بعد مرورگر کاربر نقشی در تایید اعتبار Certificateها برعهده ندارد؛ چراکه این وظیفه به پروکسی قطع‌کننده‌ی اتصال اولیه محول می‌شود و این سرورها (محصولات امنیتی مورد استفاده برای این کار) عملکرد مناسبی در تایید اعتبار Certificate سرور‌ها ندارند.

محققین چندین دانشگاه و شرکت از جمله گوگل در خصوص بررسی ترافیک‌های HTTPS تحقیقاتی صورت داده‌ و دریافته‌اند که بیش از ۱۰ درصد از ترافیک‌های HTTPS که از آمریکا آغاز شده و به Content Delivery Network  یا CDN بسیار مطرحِ Cloudflare می‌رسد، دچار قطعی شده‌اند که ۶ درصد از این ارتباطات به سمت وب‌سایت‌های تجارت الکترونیک بوده است.

آنالیزهای انجام‌شده بیانگر آن است که ۳۲ درصد از ارتباطات HTTPS در حوزه‌ی تجارت الکترونیک و ۵۴ درصد از اتصال‌ها در Cloudflare که دچار قطعی شده‌اند، از امنیت پایین‌تری در مقایسه با زمان اتصال مستقیم با سرورها برخوردارند.

طبق اعلام این محققان، نکته‌‌ی نگران‌کننده آن است که نه‌تنها اتصال‌های قطع‌شده از الگوریتم‌های رمزنگاری ضعیف‌تری استفاده می‌کنند، بلکه ۱۰ تا ۴۰ درصد از آنها از Cipher‌های شناخته و رمزگشایی‌شده‌ای استفاده می‌کنند که به مهاجم این امکان را می‌دهد تا اتصال مربوطه را قطع، تخریب و رمزگشایی نماید.

با توجه به اینکه سازندگان مرورگرها زمان زیاد و تخصص لازم برای درک تغییرات بالقوه در اتصال‌های TLS و تایید اعتبار گواهی‌ها را در اختیار داشته‌اند، به نظر می رسد که هیچ روش دیگری برای پیاده‌سازی TLS‌های سمت Client بهتر از پیاده‌سازی آنها در مرورگرهای امروزی به حساب نمی‌آید.

Vendor‌های محصولات امنیتی از Library‌های قدیمی TLS استفاده می‌کنند، آنها را سفارشی‌سازی می‌کنند و حتی برای پیاده‌سازی مجدد برخی از ویژگی‌های این پروتکل تلاش می کنند که منجر به ایجاد آسیب‌پذیری‌های جدی در محصولات می‌گردند.

یکی دیگر از مشکلات فراگیری که US-CERT نیز به آن اشاره کرده است، در عدم توانایی بسیاری از تجهیزات بررسی کننده‌ی HTTPS نسبت به تایید اعتبار Certificate Chain‌های ارائه‌شده از سوی سرورها می‌باشد.

به اعتقاد این سازمان، خطاهای رخ‌داده در تایید اعتبار Certificate-Chain در مواردی نادری به Client‌ ارسال می‌شوند، در نتیجه تحلیل Client آن خواهد بود که عملیات‌ به شیوه‌ی مورد انتظار و در سرور صحیح به انجام رسیده‌اند.

در وب‌سایت‌هایی که SSLآن‌ها دچار نقص می‌باشد، سازمان‌ها می‌توانند عملکرد صحیح تجهیزات بررسی‌کننده‌ی HTTPS خود در خصوص تایید اعتبار گواهی‌ها و جلوگیری از انجام Cipher‌های ناایمن را تست نمایند و از صحت عملکرد ساختار خود اطمینان یابند. به علاوه، از طریق تست Client موجود در Qualys SSL Labs نیز می‌توان برخی نقص‌ها و آسیب‌پذیری‌های شناخته‌شده‌ی TLS را بررسی نمود.

US-CERT با ارائه‌ی اطلاعات بیشتر در زمینه‌ی مخاطراتی که معمولا در قطع ترافیک HTTPS ایجاد می‌گردد، به عرضه‌ی لیستی از تجهیزات احتمالا آسیب‌پذیر پرداخته است.

بدون دیدگاه

دیدگاهتان را بنویسید

*