Çoğu kişi SSL'nin İnternet güvenliğinin altın standardı olduğuna inanıyor. Bu iyidir, ancak SSL iletişimleri ele geçirilebilir ve kesilebilir. İşte nasıl.
bu mu Ulusal Güvenlik Ajansı (NSA) gerçekten interneti "dinliyor"? Suç ortakları Microsoft ve Google bunda herhangi bir payları olduğunu reddediyor ve Temel kanıtlar daha yakından incelendiğinde o kadar da iyi dayanmıyor.
Ancak bazıları, NSA'nın Güvenli Soket Katmanı (SSL) korumalı İnternet iletişimini gerçekten yakalayıp kesebileceğinden şüphe ediyor.
Ah, aslında NSA bunu yapabilir.
Ve siz de yapabilirsiniz ve "Görevimiz Tehlike" komandolarına, bilgisayar korsanlarına veya süper bilgisayarlara gerek yoktur. Tek ihtiyacınız olan bir kredi kartı numarası.
SSL'ye saldırmanın birçok yolu vardır, ancak buna ihtiyacınız yoktur sahte SSL sertifikaları, A sahte Sertifika Yetkilisi (CA)veya güvenlik uzmanının varyasyonları Moxie Marlinspike'ın ortadaki adam SSL saldırıları. Sadece bir SSL müdahale proxy'si satın alabilecekken neden bu kadar belaya giresiniz?
Blue Coat Systems'in ProxySG'si veya onların yakın zamanda satın alınan Netronome SSL cihazı işi senin için yapmak için mi?SSL müdahalesi işindeki en büyük isim olan Blue Coat, SSL müdahalesi ve kutu kırma hizmeti sunan tek isim değil. Yakın zamana kadar örneğin Microsoft size bir program satardı, Forefront Tehdit Yönetimi Ağ Geçidi 2010bu da sizin için işi yapabilir.
Bu hizmetlerde yeni bir şey yok. Paketleyici Adli Tıp öyleydi 2010'da bunu yapabilecek reklam araçları. Şirket hâlâ faaliyet gösteriyor ve dikkat çekmese de aynı hizmetlerle aynı tür cihazları sunuyor gibi görünüyor.
İşte nasıl çalışıyorlar. Öncelikle, ağ iletişimini biliyorsanız, SSL'nin sizin için çalıştığını üst düzeyde şu şekilde varsayarsınız:
SSL normalde nasıl çalışır (Kaynak: Dell SecureWorks)
İstemci güvenli bir bağlantı istiyor ve sunucu emin diyor ve biz de güvenli bir bağlantıya giden yolda el sıkışmaya başlıyoruz. İstemci, genellikle bir Web tarayıcısıdır ancak aynı zamanda bir e-posta, bulut depolama veya başka türde bir ağ hizmeti istemcisi de olabilir, ne tür bir SSL kullanabileceğini yanıtlar. tanıtıcı ve istemci ile sunucu, güvenli bir aktarım kurabilecekleri konusunda bir anlaşmaya varıncaya kadar kimlik sertifikaları ve şifreleme anahtarları hakkındaki notları karşılaştırır katman. Bu noktada çoğunuz uçtan uca güvenli bir bağlantıya sahip olduğunuzu varsayıyorsunuz.
Belki. Belki de değil.
Bir ile SSL müdahale proxy programı veya cihazı mevcut, işte gerçekte olanlar:
Aradaki adam görevi gören bir SSL proxy'si ile "güvenli" trafiğiniz bu şekilde başkaları tarafından okunabilir. (Kredi: Dell SecureWorks)
SSL proxy'si, bilgisayarınız ile İnternet arasındaki trafiği keser. "Güvenli" bir siteye gittiğinizde, tarayıcınız değil, o site gerçek Web sunucusu sertifikasını alır ve kendisi ile Web sunucusu arasında mükemmel bir SSL bağlantısı kurmayı yönetir. Proxy daha sonra size Web sunucusunun sertifikasına benzeyen bir dijital sertifika gönderir ve tarayıcınız ile proxy arasında "güvenli" bir bağlantı kurar.
Şirketiniz proxy'yi doğru şekilde kurduysa hiçbir şeyin kapalı olduğunu bilemezsiniz çünkü proxy'nin dahili SSL sertifikasının makinenizde geçerli bir SSL sertifikası olarak kaydedilmesini sağlayacak şekilde düzenlenmiştir. Sertifika. Değilse, devam etmek için tıklarsanız "sahte" dijital sertifikayı kabul edecek bir açılır hata mesajı alırsınız. Her iki durumda da, proxy ile güvenli bir bağlantıya sahip olursunuz, dışarıdaki siteye güvenli bir bağlantı sağlanır ve proxy üzerinden gönderilen her şey düz metin olarak okunabilir. Hay aksi.
Eğer şirketiniz bunu işletmenizin güvenlik duvarında yapabiliyorsa, NSA da böyle bir şeyi birinci düzey bir İSS'de yapamaz mı? Büyük bir şirketin Web barındırma tesisinde mi? Ben neden görmüyorum. Sonuçta NSA 641A numaralı odayı kurdu 2000'lerin ortalarında gözetim için AT&T'nin 611 Folsom St. binası olan yerde.
NaughtyNursesNamedNancy.com'u ziyaret ettiğinizde NSA e-postalarınızı okuyor ve omzunuzun üzerinden bakıyor mu? Şüpheliyim. Trafik gibi tekniklerle meta veri analizi, insanların büyük çoğunluğu için bu düzeyde ayrıntıyla uğraşmalarına gerek yok. Teknik olarak bunu yapabilirler mi? Evet. Kolayca ve yalnızca ticari kullanıma hazır (COTS) donanım ve yazılımı değiştirerek.
İlgili Öyküler:
- NSA skandalındaki asıl hikaye gazeteciliğin çöküşüdür
- PRISM: İşte NSA İnternet'i nasıl dinledi?
- NSA: 1952'den bu yana her şey gizlilik çöplüğünde
- Gizlilik öldü: Peki ya NSA ile arkadaş olsaydınız?
- FBI ve NSA'nın dokuz ABD teknoloji devinden gizlice veri madenciliği yaptığı söyleniyor
- Mucit: Güvenlik sorunlarının sorumlusu SSL değil