İNternet'in En İyi 200.000 HTTPS Web Sitelerinin çoğu güvensiz, Güvenilir İnternet Hareketi diyor

Internet'in en iyi 200.000 HTTPS etkin web sitesinin yüzde doksanı, bilinen SSL türlerine (Güvenli Yuva Katmanı) karşı savunmasızdır Saldırısı, İnternet Güvenliği, gizlilik ve güvenilirlik sorunlarının çözümünde kendini kanıtlamış bir sivil toplum kuruluşu olan Güvenilir İnternet Hareketi (TIM) tarafından Perşembe günü yayınlanan bir rapora göre.

Rapor, SSL Pulse adlı yeni bir TIM projesinden elde edilen verilere dayanmaktadır. Web analytics firması Alexa tarafından yayınlanan bir milyonda listelenen web sitelerindeki HTTPS uygulamalarının gücünü analiz etmek için güvenlik sağlayıcısı Qualys tarafından geliştirilen otomatik tarama teknolojisini kullanır.

SSL Pulse, HTTPS etkin web siteleri (SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 vb.) Tarafından hangi protokollerin desteklendiğini kontrol eder, iletişimin güvenliğini sağlamak için kullanılan anahtar uzunluğu (512 bit, 1024 bit, 2048 bit vb.) .) ve desteklenen şifrelerin gücü (256 bit, 128 bit veya daha düşük).

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Tarama sonuçlarını yorumlamak ve atama yapmak için bir algoritma kullanılır. Her HTTPS yapılandırmasına 0 ile 100 arasında puan verin. Daha sonra A notu en yüksek (80 puandan fazla) bir sınıfa dönüştürülür.

Alexa'nın birinci milyonu olan HTTPS'yi destekleyen yaklaşık 200.000 web sitesinin yarısı, konfigürasyonlarının kalitesi için bir A aldı. Bu, modern protokoller, güçlü şifreler ve uzun anahtarların bir kombinasyonunu kullanmaları anlamına geliyor.

Buna rağmen, taranan web sitelerinin sadece yüzde 10'u gerçekten güvenli kabul edildi. Yüzde yetmiş beş (yaklaşık 148.000), BEAST olarak bilinen bir saldırıya karşı savunmasız kalmıştır. Bu, HTTPS taleplerinden gelen kimlik doğrulama belirteçlerinin ve çerezlerinin şifresini çözmek için kullanılabilir.

BEAST saldırısı, güvenlik araştırmacıları Juliano Rizzo tarafından gösterilmiştir. Thai Duong, Buenos Aires'teki ekoparty güvenlik toplantısında, Eylül 2011'de. Eski bir teorik saldırının pratik bir uygulamasıdır ve AES veya Triple-DES gibi SSL / TLS blok şifrelerini etkiler.

Saldırı Aktarım Katmanı Güvenliği (TLS) protokolünün 1.1 sürümü, ancak birçok sunucu geriye dönük uyumluluk nedeniyle SSL 3.0 gibi eski ve güvenlik açığı olan protokolleri desteklemeye devam eder. Bu tür sunucular, hedeflenen istemciler güvenli sürümleri desteklediklerinde bile SSL / TLS'nin güvenlik açığı olan sürümlerini kullanmaları için kandırılmaları gereken SSL düşürme saldırılarına karşı savunmasızdır.

Sunucu tarafındaki BEAST saldırısını azaltmanın en kolay yolu RC4 şifresini HTTPS bağlantıları için önceliklendirmek için e-posta yoluyla Qualys'deki mühendislik direktörü Ivan Ristic. RC4 bir akış şifresidir ve bu saldırıya karşı savunmasız değildir.

Birden çok protokolü desteklemenin yanı sıra, birçok HTTPS etkin sunucu, çeşitli istemcilerle uyumluluğu sağlamak için birden fazla şifreyi de desteklemektedir. Sunucuda, şifrelerin kullanılması gereken sırayı belirlemek ve RC4'ü önceliklendirmek için özel bir ayar kullanılabilir.

"Çoğu yöneticinin bu görevi yerine getirme ihtiyacının farkında olmadığına inanıyorum," dedi Ristic.

BEAST saldırısına karşı korumalar daha yeni tarayıcılara yerleştirildi. Bununla birlikte, özellikle de iş ortamlarında, Internet Explorer 6 gibi eski tarayıcıları kullanan ve hala savunmasız olan birçok insan var Ristic dedi.

SSL Nabız taramaları da 200.000 HTTPS etkin web sitesinin yüzde 13'ünden fazlasını ortaya çıkardı. SSL bağlantılarının güvenli olmayan yeniden anlaşılmasını destekleyin. Bu, kullanıcılar ile savunmasız sunucular arasında SSL korumalı iletişimleri bozan ortadaki adam saldırılarına yol açabilir.

"Ortalama Web siteniz için - önemli bir değere sahip olmayacak - risk muhtemelen" çok küçük "Ristic dedi. "Ancak, bir şekilde ya da yüksek değerli sitelerde (örneğin, mali kurumlar) kullanılabilecek çok sayıda kullanıcısı olan siteler için, riskler potansiyel olarak çok büyüktür."

Güvenli olmayan yeniden pazarlık savunmasızlığının düzeltilmesi oldukça kolay ve sadece bir yama uygulanması gerektiğini söylüyor Ristic, dedi.

TIM, yeni SSL Pulse taramalarını gerçekleştirmeyi ve web sitelerinin SSL'leriyle kaydettiği ilerlemeyi izlemek için aylık olarak güncellemeyi planlıyor. uygulamalar.

Bu, SSL uygulama ve yönetişim konularına odaklanacak daha büyük bir TIM projesinin bir parçasıdır. Örgüt ayrıca Perşembe günü bir SSL İnternet Görev Gücü'nün oluşturulmasını duyurdu ve bu önemli alanlarda bilinen sorunlara çözüm önerileri getirdi.

Görev gücü üyeleri arasında PayPal'daki bilgi güvenliği sorumlusu Michael Barrett; SSL protokolünün yaratıcılarından Taher Elgamal; Chrome'da ve şirketin ön uç sunucularında SSL'den sorumlu bir Google yazılım mühendisi olan Adam Langley; SSL sertifikası doğrulaması için alternatif bir yöntem sunan Yakınsama projesinin yaratıcısı Moxie Marlinspike; Qualys SSL Laboratuarlarının yaratıcısı olan Ivan Ristic ve sertifika yetkilisi GlobalSign'ın baş teknoloji sorumlusu Ryan Hurst.