Исследователи проанализировали методы локального перехвата HTTPS-трафика

Исследователи проанализировали методы локального перехвата HTTPS-трафика

Исследователи проанализировали методы локального перехвата HTTPS-трафика

Группа, в которую вошли исследователи из ряда известных университетов, а также представители Mozilla, Cloudflare и Google, провела анализ распространения методов локального перехвата HTTPS-трафика и влияния такого перехвата на сетевую безопасность.

Результаты превзошли ожидания исследователей, оказалось, что 4-11% HTTPS-трафика перехватывается и анализируется сторонним ПО на стороне клиента (антивирусное ПО, межсетевые экраны), при этом в большинстве случаев подобный перехват приводит к уменьшению уровня защиты соединения.

Под локальным перехватом подразумеваются случаи анализа HTTPS-трафика с использованием программного обеспечения, установленного на системе пользователя (например, антивирусное ПО), или применением корпоративных шлюзов инспектирования трафика, работающих в виде прокси. Подобные системы перехватывают обращение клиента, затем от своего лица и с собственным сертификатом транслируют HTTPS-запрос на сервер, получают ответ и отдают его клиенту в рамках отдельного HTTPS-соединения, установленного с использованием SSL-сертификата перехватывающей системы. Для сохранения индикатора защищённого соединения в браузере на машины клиента устанавливается дополнительный корневой сертификат, позволяющий скрыть работу применяемой системы инспектирования трафика, пишет opennet.ru.

Исследователи разработали ряд эвристических методов, позволивших на стороне сервера выявить факты перехвата HTTPS и определить какие именно системы использовались для перехвата. На основании заголовка User Agent определялся браузер, а затем сравнивались специфичные для браузера и фактические особенности устанавливаемого TLS-соединений. Более того, сопоставив такие характеристики TLS-соединения, как параметры по умолчанию, поддерживаемые расширения, заявленный набор шифров, порядок определения шифров и методы сжатия, удалось достаточно точно определить конкретный продукт, применяемый для перехвата трафика.

 

 

Серверные компоненты для определения подмены HTTPS-соединения были установлены на серверы распространения обновлений для Firefox, в сеть доставки контента Cloudflare и на некоторые популярные интернет-магазины. В итоге, на серверах обновления Firefox выявлено 4% перехваченных запросов, в интернет-магазинах - 6.2%, а в CDN-сети Cloudflare - 10.9%. В 62% случаев использование корпоративных систем инспектирования снижало безопасность соединения из-за применения менее надёжных алгоритмов шифрования, а в 58% случаев соединения были подвержены известным уязвимостям. В 10-40% случаев системы перехвата анонсировали при установке соединения с сервером поддержку небезопасных шифров, подверженных MITM-атакам.

 

 

Из рассмотренных 12 шлюзов инспектирования только 5 предлагали актуальный набор шифров, 2 вообще не осуществляли верификацию сертификатов (Microsoft Threat Mgmt и WebTitan Gateway).

 

 

24 из 26 протестированных систем перехвата, работающих на компьютере клиента (как правило антивирусы), снижали общий уровень безопасности HTTPS-соединения. Актуальные наборы шифров предоставлялись в 11 из 26 продуктов. 5 систем не осуществляли верификацию сертификатов (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Продукты Kaspersky Internet Security и Total Security подвержены атаке CRIME. Продукты AVG, Bitdefender и Bullguard подвержены атакам Logjam и POODLE. Продукт Dr.Web Antivirus 11 позволяет откатиться на ненадёжные экспортные шифры (атака FREAK).

 

 

Интересно, что поддерживаемая современными браузерами возможность привязки сертификата к сайту (public key pinning) не работает в случае применения систем локального перехвата трафика. Chrome, Firefox и Safari выполняют данную проверку только если цепочка проверки ключей связана с сертификатом удостоверяющего центра. Проверка не выполняется, если цепочка верификации завершается локальным корневым сертификатом, установленным администратором.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники крадут товары, выдавая себя за ПСК и Ozon

Злоумышленники под видом известных компаний совершили серию крупных краж, оформив закупки с помощью поддельных документов и используя подмену номеров телефонов. Аферисты выдавали себя за представителей легитимных организаций, предъявляли доверенности и добивались отгрузки товара. Используемые ими документы были высокого качества и не вызывали подозрений даже у опытных сотрудников.

Как сообщила «Фонтанка», мошенники оформили несколько крупных заказов от имени Петербургской сбытовой компании (ПСК). В частности, под видом сотрудников ПСК были приобретены 130 комплектов автомобильных шин и 20 тонн сливочного масла.

В обоих случаях за товаром приезжал якобы представитель ПСК и предъявлял доверенности на получение груза. Однако позже выяснилось, что ни почта, ни телефон, ни фамилия человека, забиравшего продукцию, не имели отношения к компании.

Номер телефона, с которого связывались аферисты, в приложении Getcontact отображался как принадлежащий ПСК. Поддельные документы были выполнены на высоком уровне: в случае с «покупкой» масла мошенники даже приложили протокол разногласий к договору, где указали неустойки за нарушение условий хранения продукции.

Между тем ещё в апреле на официальном сайте ПСК появилось предупреждение: «Информируем о новой мошеннической схеме. В адрес юридических лиц поступают письма об организации закупок от имени Петербургской сбытовой компании. Письма направляются с подложного почтового адреса: zakaz.pesc-opt.ru с указанием номеров телефонов, не принадлежащих Петербургской сбытовой компании».

ПСК — не единственная пострадавшая организация. Подобные случаи неоднократно фиксировались в отношении Ozon: от его имени злоумышленники вывозили компьютеры, промышленные пылесосы и стройматериалы в разных регионах страны. При этом также использовались поддельные документы и подменённые номера телефонов.

«Мы знаем о ситуации, при которой некие сторонние лица, представляясь компанией Ozon, обращаются к поставщикам с просьбой предоставить самые разные товары, в том числе с постоплатой, — сообщили изданию в пресс-службе маркетплейса. — Часто мошенники используют схожие по написанию домены и формируют письма-запросы на бланках с логотипом Ozon».

По данным «Фонтанки», на момент публикации ни одной из пострадавших компаний не удалось вернуть ни деньги, ни украденный товар.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru