Вкл/Выкл изображения Шрифт A A A Фон Ц Ц Ц Ц Настройки
Интервал между буквами(Кернинг) СТАНДАРТНЫЙ СРЕДНИЙ БОЛЬШОЙ
Интервал между между строками ОДИНАРНЫЙ ПОЛУТОРНЫЙ ДВОЙНОЙ
Выберите шрифт ARIAL TIMES NEW ROMAN

Қостанай облысы әкімдігі білім басқармасының
“Ұзынкөл ауданының білім бөлімі” ММ

ГУ «Отдел образования Узункольского района»
Управления образования акимата Костанайской области

МЕНЮ

Когда пользователь переходит на панель управления, принтеры, маршрутизаторы, коммутаторы, IP-телефоны, мобильные приложения, инструменты сбора данных и шлюзы Wi-Fi важно понимать, что информация не будет перехвачена и прочитана кем-то на пути между компьютером и сервером.

SSL (Secure Sockets Layer) являлся самым популярным криптографическим протоколом для интернет-коммуникаций, пока на смену ему не пришел TLS (Transport Layer Security). SSL сертификат представляет собой технологию безопасности, с помощью которой шифруется связь между браузером и сервером. С помощью такого сертификата хакерам намного сложнее украсть или подменить данные пользователей.

Криптографический протокол SSL признан устаревшим, однако, в Интернете все еще существуют устройства, которые работают на SSL 2.0 и SSL 3.0 установленных на «GoAhead Embedded Web Server».

Специалисты KZ-CERT подготовили рекомендации по безопасности передачи данных, ниже вы сможете ознакомиться с ними.

Уязвимости в веб-сервере GoAhead:

CVE-2019-5096

Уязвимость, связанная с выполнением произвольного кода при обработке HTTP- запросов multi-part/form-data. Специально созданный HTTP-запрос может привести к условию использования после освобождения (use-after-free) во время обработки такого запроса, который может быть использован для повреждения кучи, что может привести к произвольному выполнению кода. Атака с использованием данной уязвимости не требует аутентификации и не требует наличия запрашиваемого ресурса на сервере.

CVE-2019-5097

При обработке HTTP-запросов multi-part/form-data, HTTP-обработчик может быть переведен в состояние бесконечного цикла, что приводит к 100-процентной загрузке ЦП (denial-of-service). Если клиентское соединение прерывается до того, как служба получила объем данных, указанный в заголовке Content-Length, сервер пытается непрерывно отправить ответ на отключенный сокет. Атака с использованием данной уязвимости не требует аутентификации и не требует наличия запрашиваемого ресурса на сервере.

Уязвимости направлены на GoAhead Web Server версии v. 5.0.1, v. 4.1.1 и v. 3.6.5.

SSL 2.0 (признан устаревшим в 2011 году)

Существует ряд атак, которые могут быть предприняты против протокола SSL. Однако SSL устойчив к этим атакам при условии, что пользователь использует только доверенные сервера для обработки информации. SSL 2.0 уязвима в некоторых ситуациях:

  1. Идентичные криптографические ключи используются для аутентификации и шифрования сообщений;
  2. SSL 2.0 имеет слабую MAC конструкцию, которая использует MD5 хеш-функцию с секретом префикса, что делает его уязвимым для атак;
  3. SSL 2.0 не имеет никакой защиты для протокола рукопожатия, то есть атаки типа злоумышленник посередине (man-in-the-middle) могут остаться незамеченными;
  4. SSL 2.0 использует TCP закрытое соединенние, чтобы указать конец данных. Это означает, что возможна следующая атака: злоумышленник просто подделывает TCP FIN, оставив получателя без сообщения о конце передачи данных (в SSL 3.0 эту ошибку исправили);
  5. SSL 2.0 предполагает наличие единой службы поддержки и фиксированного домена, что идет вразрез со стандартной функцией виртуального хостинга на веб-серверах.

SSL 3.0 (признан устаревшим в 2015 году)

14 октября 2014 года была выявлена уязвимость CVE-2014-3566, названная POODLE (Padding Oracle On Downgraded Legacy Encryption). Данная уязвимость позволяет злоумышленнику осуществить атаку Man-in-the-Middle на соединение, зашифрованное с помощью SSL 3.0. Уязвимость POODLE — это уязвимость протокола, а не какой-либо его реализации, соответственно, ей подвержены все соединения зашифрованные SSL v3.

В SSL 3.0 есть и иные слабые моменты. К примеру, половина мастер-ключа (master key), которая устанавливается, полностью зависит от хеш-функции MD5, которая не является устойчивой к коллизиям и, следовательно, не считается безопасной.

Виды возможных атак на протокол SSL:

  1. Bruteforce (атака по словарю)
  2. Replay attack (атака повторного воспроизведения) — атака на систему аутентификации путём записи и последующего воспроизведения ранее посланных корректных сообщений или их частей. Любая неизменная информация, такая как пароль или биометрические данные могут быть записаны и использованы позднее для имитации аутентичности.
  3. Browser Exploit Against SSL/TLS (BEAST) атака
  4. RC4 атака
  5. Man-in-the-Middle
  6. THC-SSL-DOS
  7. SSLstrip
  8. Раскрытиешифров

Возможные риски от использования SSL 2.0 и SSL 3.0

  1. Утечка конфиденциальной информации: SSL 2 и SSL 3 подвержены уязвимостям, которые могут быть использованы злоумышленниками для перехвата и расшифровки передаваемой информации. Это может привести к утечке конфиденциальных данных, таких как логины, пароли, номера кредитных карт и другие личные сведения.
  2. Возможность подделки сертификатов: Устаревшие протоколы SSL 2 и SSL 3 не обеспечивают достаточного уровня проверки подлинности сертификатов. Это означает, что злоумышленники могут создать поддельные сертификаты и представляться за легитимные веб-сайты или услуги. Пользователи могут быть обмануты и передать свои конфиденциальные данные злоумышленникам.
  3. Атаки типа «отказ в обслуживании» (DoS): SSL 2 и SSL 3 подвержены различным DoS-атакам, которые могут привести к недоступности сервиса для легитимных пользователей. Это может вызывать проблемы с функционированием веб-сайтов, серверов электронной почты и других онлайн-сервисов.

Рекомендации:

  1. Обновить GoAhead Web Server до актуальной версии;
  2. Перейти на новый протокол шифрования TLS2 или TLS 1.3.

https://sts.kz/2023/07/05/rekomendacii-po-bezopasnosti-peredachi-dannyh/

© 2024 Қостанай облысы әкімдігі білім басқармасының
“Ұзынкөл ауданының білім бөлімі” ММ ГУ «Отдел образования Узункольского района»
Управления образования акимата Костанайской области