- W i r u s P C - polskie centrum antywirusowe - Bezpieczne połączenia: jak bezpieczne są w rzeczywistości?

Bądź na bieżąco! Kanały RSS

Artykuły

Bezpieczne połączenia: jak bezpieczne są w rzeczywistości?

Vitaly Denisov

Co to są bezpieczne połączenia?
Różne typy ochrony przed zagrożeniami sieciowymi
Zagrożenia związane z bezpiecznymi połączeniami
Wniosek

Co to są bezpieczne połączenia?

Bezpieczne połączenia mają na celu ochronę danych wysyłanych między dwoma komputerami za pośrednictwem Internetu. Bezpieczne połączenia powinny:

Maskować poufne dane przed osobami trzecimi
Weryfikować identyfikację osoby, z którą wymieniane są informacje
Chronić informacje przed przeglądaniem lub modyfikowaniem przez osoby trzecie

Rys. 1. Dostęp do skrzynki pocztowej MS Exchange Server za pośrednictwem bezpiecznego połączenia

Istnieje kilka sposobów zabezpieczania transmisji danych - wszystkie z nich opierają się na wykorzystywaniu szyfrowania danych oraz specjalnych kluczy używanych do odczytywania informacji. Klucze te (zwane również certyfikatami) zazwyczaj przechowywane są w specjalnej bazie danych - archiwum certyfikatów - i są dostępne dla autoryzowanych użytkowników.

Szyfrowanie danych. Metoda ta polega na maskowaniu informacji (na przykład e-maili) przed osobami trzecimi oraz weryfikacji nadawcy. Nie jest jednak weryfikowana autentyczność dwóch komputerów uczestniczących w wymianie informacji. Aby stworzyć zaszyfrowaną wiadomość i aby mogła ona zostać odczytana przez dwóch odbiorców, odbiorcy muszą mieć zainstalowany odpowiedni program (taki jak PGP, GPG czy S/MIME). Większość szyfrowanych danych przesyłanych jest za pośrednictwem poczty elektronicznej.

Rys. 2. Szyfrowanie danych przy użyciu PGP

Szyfrowanie tunelu transferu. Metoda ta polega na ukrywaniu całej zawartości połączenia sieciowego oraz weryfikowaniu autentyczności wszystkich komputerów uczestniczących w połączeniu sieciowym. Jednak w większości przypadków, w przeciwieństwie do pierwszej metody, same dane nie są weryfikowane. Na przykład, nie jest możliwa weryfikacja nadawcy wiadomości e-mail otrzymanej za pośrednictwem szyfrowanego tunelu. Takie protokoły szyfrowania nazywane są SSL oraz TLS.

Rys. 3. Ustawienia bezpiecznego połączenia w programie Outlook Express

Obecnie ogromna większość aplikacji internetowych obsługuje szyfrowany tunel transmisji: serwery pocztowe oraz programy klienckie, serwery sieciowe i przeglądarki, jak również wiele specjalistycznych aplikacji sieciowych, takich jak systemy bankowe wykorzystywane do zarządzania kontami i dokonywania płatności online. Prostota tej metody jest oczywista dla programistów: standardowy protokół transferu danych można zaimplementować w ustanowionym bezpiecznym połączeniu sieciowym (minimalizując potrzebę wprowadzania jakichkolwiek zmian w aplikacjach przystosowanych do współpracy z siecią). Znane protokoły funkcjonują następująco:

HTTPS (bez szyfrowania HTTP - główny protokół internetowy, szyfrowany przy użyciu SSL/TLS)
POPS (bez szyfrowania POP3 - główny protokół do otrzymywanie poczty elektronicznej, szyfrowany przy użyciu SSL/TLS)
SMPTPS (bez szyfrowania SMTP - główny protokół do wysyłania poczty elektronicznej, szyfrowany przy użyciu SSL/TLS)
MAPS (bez szyfrowania IMAP4 - powszechny protokół do otrzymywania poczty elektronicznej, szyfrowany przy użyciu SSL/TLS)
NNTPS (bez szyfrowania NNTP - powszechny protokół do czytania wiadomości, szyfrowany przy użyciu SSL/TLS)

Niektóre usługi sieciowe oferowane są wyłącznie poprzez połączenie szyfrowane, na przykład popularny Gmail.

W niniejszym artykule zbadano szyfrowane tunele transferu, lub tak zwane bezpieczne połączenia.

Różne typy ochrony przed zagrożeniami sieciowymi

Połączenia sieciowe wykorzystywane są do transmitowania zarówno użytecznych informacji, jak i szkodliwych danych, które mogą stanowić zagrożenie dla komputerów. Do typowych przykładów szkodliwych danych należy większość współczesnych zagrożeń: ataki hakerów, trojany, robaki pocztowe orz exploity, które wykorzystują luki w aplikacjach sieciowych.

Do zwalczania niebezpiecznych danych wykorzystywane są następujące rodzaje programów i pakietów aplikacji:

Zapory ogniowe:
- Sprawdzają każde połączenie sieciowe na lokalnym komputerze zgodnie z wyznaczonymi regułami: połączenie zostanie zaakceptowane lub odrzucone.
- Mogą wykrywać trojany (ale nie mogą ich usuwać), gdy próbują przesyłać pobrane poufne dane osobie trzeciej.
- Nie mogą wykrywać wirusów, bez względu na rodzaj połączenia sieciowego.

Rys. 4. Reguły zapory ogniowej dla aplikacji

Ochrona przed atakami sieciowymi (IDS: System wykrywania włamań):
- Skanuje w poszukiwaniu ataków, dla których istnieje sygnatura w ustanowionym połączeniu sieciowym, bez względu na protokół, i może je zablokować.
- Potrafi wykrywać wirusy, bez możliwości usuwania ich, w powszechnych protokołach HDLC, takich jak protokół HTTP oraz POP3. Gdy w wiadomości e-mail otrzymanej za pośrednictwem protokołu POP3 zostanie wykryty wirus, można jedynie określić połączenie sieciowe. Nie gwarantuje to jednak ochrony przed wirusami wykrywanymi w poczcie elektronicznej. Gdy użytkownik będzie próbował pobrać inne wiadomości z serwera, zainfekowana wiadomość spowoduje, że zaatakowane maszyna przerwie połączenie z serwem pocztowym.
- Nie potrafi wykrywać wirusów w połączeniach szyfrowanych.

Rys. 5. Blokowanie ataku sieciowego

Rozwiązania antywirusowe (poczta elektroniczna oraz sieć):
- Potrafią wykrywać i neutralizować wirusy, których sygnatury zostały zawarte w bazie danych, podczas wysyłania i otrzymywania danych za pośrednictwem znanego protokołu HDLC.
- Nie mogą wykrywać wirusów w połączeniu szyfrowanym.

Rys. 6. Wykrywanie wirusa w pobieranym pliku

Zagrożenia związane z bezpiecznymi połączeniami

Jak już wspomniałem wcześniej, za pośrednictwem połączeń sieciowych mogą być transmitowane zarówno użyteczne, jak i szkodliwe informacje. Standardowe rozwiązania chronią komputery przed zagrożeniami występującymi w standardowych połączeniach sieciowych, ale nie są w stanie przeciwdziałać zagrożeniom w bezpiecznych połączeniach. Weryfikacja zawartości bezpiecznego połączenia jest niemożliwa ze względu na to, że jest ono bezpieczne, jak przedstawiono na przykładzie różnych typów ochrony. W rezultacie, szkodliwe dane w bezpiecznych tunelach mogą spowodować znaczne szkody, niekiedy nawet większe niż gdyby były transmitowane poprzez standardowe połączenie, które nie jest klasyfikowane jako bezpieczne.

To, że łatwo jest szyfrować tunel sieciowy oraz w większości przypadków nie można zweryfikować, kto stworzył plik, prowadzi do pewnego rodzaju sprzeczności: "bezpieczne połączenie" z serwerem zapewnia użytkownikowi poczucie bezpieczeństwa, nie gwarantuje jednak, że połączenie będzie wolne od szkodliwych danych.

Zagrożenia związane z ?bezpiecznymi połączeniami" wydają się oczywiste, zwłaszcza teraz gdy stają się coraz powszechniejsze. Po tym jak programiści zapewnili obsługę protokołów SSL/TLS dla wszystkich popularnych aplikacji sieciowych, wiele serwerów w Internecie zaczęło oferować swoje usługi za pośrednictwem protokołów SSL/ TLS: oprócz największych stron bankowych, wszystkie najpopularniejsze serwisy pocztowe i strony partnerskie umożliwiły dostęp wyłącznie poprzez bezpieczne połączenie. Jednak administratorzy takich serwerów często nie posiadają wystarczających kwalifikacji, aby poprawnie skonfigurować bezpieczne połączenie serwerowe.

Sytuację pogarsza dodatkowo fakt, że atak na komputer można przeprowadzić zdalnie - na przykład, umieszczając szkodliwy plik na serwerze, do którego dostęp możliwy jest tylko za pośrednictwem bezpiecznego połączenia.

Poniżej przedstawiamy kilka przykładów.

Gmail i wirusy

Popularny serwis pocztowy Gmail oferuje dostęp do swoich usług wyłącznie za pośrednictwem bezpiecznego połączenia. Wiadomo, że serwery serwisu Gmail wykorzystują oprogramowanie antywirusowe. Rozważmy teraz kilka hipotetycznych sytuacji:

Twórca wirusów wysyła swojego wirusa subskrybentowi Gmaila.
Oprogramowanie antywirusowe Gmaila nie wykrywa wirusa, ponieważ aktualizacja antywirusowych baz danych została z jakiegoś powodu opóźniona.
Po pewnym czasie użytkownik pobiera zainfekowaną wiadomość e-mail z lokalnego komputera, ponieważ oprogramowanie antywirusowe Gmaila, zostało zoptymalizowane, przez co wiadomości e-mail nie są skanowane po tym, jak zostaną przesłane użytkownikowi, ale gdy znajdą się już w skrzynce odbiorczej.
Oprogramowanie antywirusowe na lokalnym komputerze, do którego bazy dodano już odpowiednią sygnaturę, nie wykrywa wirusa, ponieważ połączenie sieciowe zostało zaszyfrowane zgodnie z wymaganiami Gmaila, a moduł ochrony poczty programu antywirusowego nie potrafił przeskanować zaszyfrowanych danych.
Moduł ochrony plików programu antywirusowego wykrywa wirusa w bazie wiadomości e-mail i zaleca usunięcie całej bazy wiadomości e-mail, ponieważ często nie można leczyć takiej bazy.
Rezultat: użytkownik może stracić całą swoją korespondencję.

Wirusy na serwerach sieciowych

Oto inny interesujący przykład: szkodliwy użytkownik może umieścić zainfekowany plik na serwerze sieciowym, a następnie skłonić użytkowników Internetu do odwiedzenia tego serwera. Jeśli wirus zostanie umieszczony na zwykłym serwerze HTTP, komputer z oprogramowaniem antywirusowym nie będzie zagrożony. Jeśli jednak wirus zostanie umieszczony na serwerze HTTPS, sytuacja nieco się skomplikuje:

Twórca wirusów może wykorzystać lukę w celu zdobycia dostępu do plików przechowywanych na serwerze (jak w przypadku incydentu z serwerami Valuehost, rosyjskiego dostawcy usług hostingowych - http://www.viruslist.pl/weblog.html?weblogid=359) i zastąpić pliki tym wirusem.
Użytkownik otwiera znajomą stronę za pomocą standardowej przeglądarki przy użyciu HTTPS. Moduł ochrony WWW programu antywirusowego nie może odczytać danych w połączeniu szyfrowanym i nie może zapobiec pobraniu zainfekowanych plików.
Zamiast zwykłej strony internetowej przeglądarka ładuje wirusa, który wykorzystuje lukę w zabezpieczeniach przeglądarki. Wirus natychmiast wykonuje swój kod w przeglądarce. Moduł ochrony plików programu antywirusowego nie może zablokować wykonania złośliwego kodu, ponieważ zainfekowany plik może zostać przetworzony tylko po tym, jak zostanie zapisany na dysku, czyli w tym przypadku dopiero po wykonaniu szkodliwego kodu.
Rezultat: komputer zostanie zainfekowany.

Rozwiązania

Aby zapewnić sprawdzanie danych transmitowanych za pośrednictwem bezpiecznego połączenia, większość producentów rozwiązań antywirusowych oferuje wtyczki dla aplikacji sieciowych. Takie podejście posiada zarówno plusy, jak i minusy:

Plusy:
- Brak wpływu na strumień danych pomiędzy klientem a serwerem.
- Osoby trzecie nie mogą uzyskać dostępu do strumienia danych.
Minusy:
- Dla niektórych aplikacji nie można stworzyć wtyczki. Przykładem jest Outlook Express, najpopularniejszy program pocztowy.
- Z użyciem wtyczek wiążą się pewne ograniczenia. Przykładem jest MS Outlook.

Rys. 7. Wtyczka oprogramowania antywirusowego dla programu Microsoft Office Outlook

Alternatywą dla wykorzystywania wtyczek jest sprawdzanie ruchu pocztowego przy użyciu metody "pośrednika". Rozwiązanie to eliminuje negatywne aspekty architektury wtyczki. Mimo że posiada pewne wady, twórcy oprogramowania antywirusowego zostali zmuszeni do wdrożenia tego podejścia w celu ochrony swoich użytkowników.

Metoda ta stanowi zamach na istotę protokołów SSL/TLS, ponieważ przechwytuje bezpieczne połączenie, zastępuje oryginalny certyfikat i ustanawia dwa bezpieczne połączenia: pomiędzy aplikacją i antywirusowym proxy oraz pomiędzy antywirusowym proxy i zdalnym komputerem.

Rys. 8. Standardowe bezpieczne połączenie

Rys. 9. Skanowanie bezpiecznego połączenia

Zalety:
- Połączenia mogą być skanowane w poszukiwaniu dowolnej aplikacji klienckiej.
- Połączenie może być skanowane w poszukiwaniu wirusów niezależnie od użytego protokołu.
- Oprócz skanowania antywirusowego, proxy może przeprowadzać wszystkie inne operacje na danych, skanowanie pod kątem phishingu, spamu itd.
- Strumień danych nie może być przeglądany przez osobę trzecią, chyba że osoba taka przeprowadza atak "pośrednika".
Wady:
- Modyfikowany jest strumień danych pomiędzy klientem a serwerem. W rezultacie:
  - Aplikacje sieciowe nie mogą zweryfikować autentyczności serwera.
  - Serwer nie może zweryfikować autentyczności klienta.
  - Jeśli proxy nie przeprowadzi własnej weryfikacji, może zostać przeprowadzony drugi atak typu "pośrednik" (pomiędzy proxy a serwerem). Taki atak może zostać przeprowadzony przez szkodliwego użytkownika w celu przeglądania i modyfikowania danych.

W praktyce, skanowanie ruchu nie stanowi realnego zagrożenia dla użytkowników. Skanowanie jest przeprowadzane na lokalnej maszynie; użytkownik może zostać poproszony o podjęcie decyzji, a wszystkie zdalne certyfikaty mogą być weryfikowane przez oprogramowanie antywirusowe i archiwa certyfikatów, tak jak w przypadku aplikacji sieciowych.

Wady metody "pośrednika" wydają się być znacznie mniej istotne niż jej zalety - komputer jest całkowicie chroniony przed wszelkimi rodzajami zagrożeń atakujących poprzez połączenia sieciowe.

Kaspersky Internet Security

Kaspersky Internet Security zawiera rozwiązania, które weryfikują oba typy bezpiecznych połączeń:

Wtyczki dla aplikacji sieciowych:
- MS Outlook,
- TheBat,
- IE ScriptChecker
Weryfikacja bezpiecznych połączeń w ruchu przy użyciu metody "pośrednika":
- Kaspersky Internet Security informuje użytkownika o wszystkich działaniach:
  - Powiadamia użytkownika o podstawianiu certyfikatu serwera
  - Weryfikuje certyfikaty otrzymywane z serwera w archiwum certyfikatów Windows, dokładnie tak samo jak aplikacje sieciowe
  - Ostatni etap metody "pośrednika" nie jest uwzględniony. Rejestracja podstawionego certyfikatu w archiwach zaufanych certyfikatów musi zostać dokonana przez użytkownika
- Kaspersky Internet Security oferuje opcję wyłączenia sprawdzania pewnych połączeń (opcje konfiguracyjne: aplikacje/serwery/porty.) Rozwiązuje to problem, jaki mógłby powstać odnośnie poprawnego działania usług, które sprawdzają autentyczność klienta.
- Kaspersky Internet Security sprawdza wszystkie możliwe parametry w bezpiecznych połączeniach:
  - Moduł ochrony WWW wykrywa wirusy w ruchu przeglądarki
  - Moduł ochrony poczty wykrywa wirusy w ruchu pocztowym
  - Moduł ochrony przed phishingiem wykrywa sfałszowane strony i odsyłacze do takich stron
  - Moduł ochrony przed banerami blokuje okna wyskakujące
  - Moduł ochrony przed spamem blokuje niechcianą korespondencję

Rys. 10. Wykrywanie pliku testowego eicar w bezpiecznym połączeniu przeglądarki

Wniosek

Bezpieczne połączenia mają na celu zabezpieczanie danych przed modyfikacją i kradzieżą. Jednak zagrożenia te stanowią realny problem, przed którymi nie są w stanie zapewnić ochrony.

Paradoksalnie, bezpieczne połączenie może dać użytkownikowi fałszywe poczucie bezpieczeństwa. Sytuację pogarsza dodatkowo fakt, że standardowe rozwiązania bezpieczeństwa nie działają w bezpiecznych tunelach.

Dlatego zapewnienie całkowitej ochrony przed zagrożeniami sieciowymi wymaga zastosowania specjalnych metod. Najprostszym i najbardziej oczywistym rozwiązaniem jest użycie wtyczki dla przeglądarek sieciowych. Niestety, wtyczki nie są uniwersalne i wiele aplikacji nie obsługuje ich lub nakłada zbyt wiele ograniczeń na ich funkcjonalność. Inne rozwiązanie stosowane przez producentów oprogramowania antywirusowego polega na weryfikacji ruchu.

Nie należy lekceważyć niebezpieczeństw związanych z bezpiecznymi połączeniami. Podczas podejmowania ważnych decyzji dotyczących bezpieczeństwa twojego komputera upewnij się, że twoje rozwiązanie antywirusowe zapewnia całkowitą ochronę przed wszystkimi zagrożeniami sieciowymi.

Źródło:

Kaspersky Lab

WirusPC.pl

Zagrożenia

Porady

Polecamy

Sponsorzy