Безопасность с https

Согласно Wikipedia, HTTPS – расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTP, "упаковываются" в криптографический протокол SSL или TLS, тем самым обеспечивается защита этих данных.

В настоящее время данный протокол становится популярным, в виду массового распространения электронной коммерции (money.yandex.ru), электронного банкинга (click.alfabank.ru), защищенного документооборота (gmail.com). Для разных категорий удаленных сервисов свойства информационной безопасности, такие как конфиденциальность, целостность и доступность будут иметь разный вес. Если говорить о конфиденциальности и целостности, то эти свойства достигаются преимущественно криптографическими методами.

Задача информационной безопасности как раз и заключается в предотвращении  утечек конфиденциальной информации через подобные сервисы. Представим, что сотрудник банка, находясь на своем рабочем месте, решит «слить» информацию посредством почтового сервиса gmail.com. Также предположим, что в виду конфиденциальности данный сервис для каких-то целей разрешен определенным категориям пользователей.

Даже если вы закроете доступ на популярные почтовые серверы, популярные форумы, все равно останется большое количество анонимных прокси-серверов, через которые можно будет получить доступ на многие из них. Остается даже возможность выполнить «проброс» https до контролируемой удаленной машины.

Если следовать теории, что существует 3 способа контроля зашифрованного сетевого трафика.

Запрет на использование https

Первый способ самый простой. Достаточно в разрыв поставить средство для контроля типов проходящего трафика на основе контента и блокировать зашифрованный трафик. Можно создавать различные политики для групп пользователей в зависимости от их уровня доверия и поставленных задач. Примером таких средств защиты является MS ISA Server, а также следующие программно-аппаратные комплексы:

• Cisco IronPort S-Series Web Security Appliance
• Sophos Web Security and Control Appliance
• TrendMicro InterScan Web Security Appliance

Перехват https на клиенте

Второй способ использует метод перехвата трафика еще до того момента, когда он стал зашифрованным. Шифрование осуществляется на уровне представления, то есть в тот момент, когда приложение передает данные для шифрования перед отправкой в стек TCP/IP. Дешифрование осуществляется аналогичным образом при получении информации. Таким путем пошла компания SearchInform, говоря о единственном продукте, который позволяет контролировать программу Skype. В агенте, который устанавливается на ПК сотрудника, есть плагин к Skype, который и перехватывает еще не зашифрованную информацию.

«Полутоннель»

В терминологии компании Инфотекс, полутоннелем называется шифрованный канал через сеть связи общего пользования (например, Интернет), с одной стороны которого все рабочие станции и серверы шифруют исходящий трафик, а с другой стороны при входе в сегмент сети трафик расшифровывается и идет в открытом виде до серверов и рабочих станций назначения. Этот приём часто используется, если нет необходимости или возможности защитить всё оборудование в сети, либо если нужно сэкономить на стоимости защиты. Подобным путем можно организовать контроль исходящего трафика от пользователей.

Процесс установления защищенного соединения начинается с обычного незащищенного http соединения. Далее происходит аутентификация с присвоением идентификатора сессии и переход в защищенный протокол (SSL).  Для перехвата достаточно установить сниффер на сетевой шлюз и получить идентификатор сессии. После этого крайне просто реализовать атаку Man In The Middle, представившись пользователем для удаленного сервиса и удаленным сервисом для пользователя.

Многие пользователи обратят внимание, что сессия не является защищенной и в строке браузера по-прежнему отображается HTTP. Для урегулирования возможных волнений со стороны пользователей рекомендуется разработать раздел в правилах использования  сотрудниками организации ресурсов сети Интернет, в котором организации будет разрешено иметь доступ к защищенным каналам связи и информации, пересылаемой пользователями в них.

  

Подмена сертификатов

Развивая эту мысль, можно полноценно разместиться в качестве «человека посередине» (Man In The Middle Attack) с развертыванием выделенного центра сертификации (ЦС). Вначале необходимо собрать перечень из популярных общедоступных сервисов, которые УЖЕ используют шифрование для обеспечения конфиденциальности и целостности (подлинности, неотказуемости) при передаче информации пользователей. Далее необходимо при помощи групповых политик включить сертификат этого ЦС в качестве доверенного для всех пользователей организации. После этого можно перехватывать запросы на открытие защищенного канала связи, генерировать напоминающий оригинал сертификат и передавать его клиенту.

Если же вопрос обмана пользователей не стоит, можно ограничиться выпуском единственного сертификата и использовать его для создания «защищенного» соединения между пользователями и шлюзом.  Для того, чтобы соединение было действительно защищенным, не смотря на использование одного и того же сертификата, предлагается при выработке сессионного ключа учитывать текущее время.

Таким образом, при установлении защищенного соединения на стороне клиента будет лишь имитация безопасного соединения, а на самом деле будет два установленных соединения «Удаленный сервер - ШЛЮЗ» и «ШЛЮЗ – Пользователь», на стыке которых и будет происходить перехват содержимого исходящего трафика.

Можно сделать вывод о том, что повсеместное использование шифрования уже не делает обмен информацией конфиденциальным и нужно принимать все возможные меры для того, чтобы личная переписка оставалась действительно личной.