Объём HTTPS-трафика с поддельных сертификатов оценен в 0.2%

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

12 мая 2014 года

Группа исследователей из университета Карнеги-Меллон совместно с компанией Facebook провели исследование, нацеленное на изучение доли в реальном web-трафике поддельных HTTPS-соединений, установленных в результате MITM-атак (man-in-the-middle). Результаты превзошли все ожидания - около 0.2% (6845) из почти трёх с половиной миллионов проанализированных HTTPS-запросов пользователей к социальной сети Facebook оказались установленными с использованием поддельных SSL-сертификатов, сгенерированных без ведома владельца сайта. Подобные поддельные сертификаты позволяют организовать транзитный перехват трафика, при этом браузер клиента определяет соединение как защищённое и не выводит предупреждений.

Подавляющее большинство запросов с поддельных сертификатов приходится на различные антивирусные системы. На втором месте корпоративные межсетевые экраны и системы отслеживания утечек данных. Подобные системы используют заслуживающие доверия сертификаты антивирусных вендоров или вторичные корневые сертификаты, которые позволяют создать корректный и не вызывающий подозрения сертификат для любого сайта в сети. Суть метода состоит в перехвате соединения клиента и его трансляции через промежуточный локальный прокси, при установке соединения клиента с прокси используется поддельный сертификат, а при соединении прокси с целевым сайтом устанавливается нормальное защищённое соединение.

Примечательно, что среди поддельных сертификатов, выявлено 112 запросов, связанных с активностью вредоносного ПО. В данных запросах фигурировали сертифиткаты, выписанные от имени удостоверяющего центра IopFailZeroAccessCreate, поддельный корневой сертификат которого подставлялся вредоносным ПО в браузеры, после успешных атак на клиентские компьютеры. Во вредоносном ПО поддельные сертификаты используются для организации перехвата паролей в HTTPS-трафике, а также для подстановки собственной рекламы на запрашиваемые пользователем защищённые страницы.

Отмечается, что практика перехвата HTTS-трафика антивирусным ПО представляет потенциальную угрозу - если профессиональные злоумышленники или спецслужбы, в результате кражи или принуждения, получат в свои руки корневой сертификат производителя антивирусного ПО, то они получат возможность контролировать защищённый трафик пользователей данного вендора.

В качестве способа накопления статистики о числе пользователей, применяющих поддельные сертификаты, разработан простой метод (диаграмма справа), основанный на размещении на сайте специальной Flash-вставки, которая осуществляет HTTPS-соединение силами Flash и записывает в журнал используемый в этом соединении сертификат. В дальнейшем, владелец сайта может оценить записи в журнале, в которых фигурируют поддельные сертификаты.

Источники[править]


Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «Объём HTTPS-трафика с поддельных сертификатов оценен в 0.2%», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Объём_HTTPS-трафика_с_поддельных_сертификатов_оценен_в_0.2%25&oldid=8697460