Қостанай облысы әкімдігі білім басқармасының “Ұзынкөл ауданының білім бөлімі” ММ
ГУ «Отдел образования Узункольского района»
Управления образования акимата Костанайской области
Когда пользователь переходит на панель управления, принтеры, маршрутизаторы, коммутаторы, IP-телефоны, мобильные приложения, инструменты сбора данных и шлюзы Wi-Fi важно понимать, что информация не будет перехвачена и прочитана кем-то на пути между компьютером и сервером.
SSL (Secure Sockets Layer) являлся самым популярным криптографическим протоколом для интернет-коммуникаций, пока на смену ему не пришел TLS (Transport Layer Security). SSL сертификат представляет собой технологию безопасности, с помощью которой шифруется связь между браузером и сервером. С помощью такого сертификата хакерам намного сложнее украсть или подменить данные пользователей.
Криптографический протокол SSL признан устаревшим, однако, в Интернете все еще существуют устройства, которые работают на SSL 2.0 и SSL 3.0 установленных на «GoAhead Embedded Web Server».
Специалисты KZ-CERT подготовили рекомендации по безопасности передачи данных, ниже вы сможете ознакомиться с ними.
Уязвимости в веб-сервере GoAhead:
CVE-2019-5096
Уязвимость, связанная с выполнением произвольного кода при обработке HTTP- запросов multi-part/form-data. Специально созданный HTTP-запрос может привести к условию использования после освобождения (use-after-free) во время обработки такого запроса, который может быть использован для повреждения кучи, что может привести к произвольному выполнению кода. Атака с использованием данной уязвимости не требует аутентификации и не требует наличия запрашиваемого ресурса на сервере.
CVE-2019-5097
При обработке HTTP-запросов multi-part/form-data, HTTP-обработчик может быть переведен в состояние бесконечного цикла, что приводит к 100-процентной загрузке ЦП (denial-of-service). Если клиентское соединение прерывается до того, как служба получила объем данных, указанный в заголовке Content-Length, сервер пытается непрерывно отправить ответ на отключенный сокет. Атака с использованием данной уязвимости не требует аутентификации и не требует наличия запрашиваемого ресурса на сервере.
Уязвимости направлены на GoAhead Web Server версии v. 5.0.1, v. 4.1.1 и v. 3.6.5.
SSL 2.0 (признан устаревшим в 2011 году)
Существует ряд атак, которые могут быть предприняты против протокола SSL. Однако SSL устойчив к этим атакам при условии, что пользователь использует только доверенные сервера для обработки информации. SSL 2.0 уязвима в некоторых ситуациях:
- Идентичные криптографические ключи используются для аутентификации и шифрования сообщений;
- SSL 2.0 имеет слабую MAC конструкцию, которая использует MD5 хеш-функцию с секретом префикса, что делает его уязвимым для атак;
- SSL 2.0 не имеет никакой защиты для протокола рукопожатия, то есть атаки типа злоумышленник посередине (man-in-the-middle) могут остаться незамеченными;
- SSL 2.0 использует TCP закрытое соединенние, чтобы указать конец данных. Это означает, что возможна следующая атака: злоумышленник просто подделывает TCP FIN, оставив получателя без сообщения о конце передачи данных (в SSL 3.0 эту ошибку исправили);
- SSL 2.0 предполагает наличие единой службы поддержки и фиксированного домена, что идет вразрез со стандартной функцией виртуального хостинга на веб-серверах.
SSL 3.0 (признан устаревшим в 2015 году)
14 октября 2014 года была выявлена уязвимость CVE-2014-3566, названная POODLE (Padding Oracle On Downgraded Legacy Encryption). Данная уязвимость позволяет злоумышленнику осуществить атаку Man-in-the-Middle на соединение, зашифрованное с помощью SSL 3.0. Уязвимость POODLE — это уязвимость протокола, а не какой-либо его реализации, соответственно, ей подвержены все соединения зашифрованные SSL v3.
В SSL 3.0 есть и иные слабые моменты. К примеру, половина мастер-ключа (master key), которая устанавливается, полностью зависит от хеш-функции MD5, которая не является устойчивой к коллизиям и, следовательно, не считается безопасной.
Виды возможных атак на протокол SSL:
- Bruteforce (атака по словарю)
- Replay attack (атака повторного воспроизведения) — атака на систему аутентификации путём записи и последующего воспроизведения ранее посланных корректных сообщений или их частей. Любая неизменная информация, такая как пароль или биометрические данные могут быть записаны и использованы позднее для имитации аутентичности.
- Browser Exploit Against SSL/TLS (BEAST) атака
- RC4 атака
- Man-in-the-Middle
- THC-SSL-DOS
- SSLstrip
- Раскрытиешифров
Возможные риски от использования SSL 2.0 и SSL 3.0
- Утечка конфиденциальной информации: SSL 2 и SSL 3 подвержены уязвимостям, которые могут быть использованы злоумышленниками для перехвата и расшифровки передаваемой информации. Это может привести к утечке конфиденциальных данных, таких как логины, пароли, номера кредитных карт и другие личные сведения.
- Возможность подделки сертификатов: Устаревшие протоколы SSL 2 и SSL 3 не обеспечивают достаточного уровня проверки подлинности сертификатов. Это означает, что злоумышленники могут создать поддельные сертификаты и представляться за легитимные веб-сайты или услуги. Пользователи могут быть обмануты и передать свои конфиденциальные данные злоумышленникам.
- Атаки типа «отказ в обслуживании» (DoS): SSL 2 и SSL 3 подвержены различным DoS-атакам, которые могут привести к недоступности сервиса для легитимных пользователей. Это может вызывать проблемы с функционированием веб-сайтов, серверов электронной почты и других онлайн-сервисов.
Рекомендации:
- Обновить GoAhead Web Server до актуальной версии;
- Перейти на новый протокол шифрования TLS2 или TLS 1.3.
https://sts.kz/2023/07/05/rekomendacii-po-bezopasnosti-peredachi-dannyh/