forum.opennet.ru

Составление сообщения

Исходное сообщение

"Объём HTTPS-трафика с поддельных сертификатов оценен в 0.2% "
Отправлено opennews, 12-Май-14 10:29

Группа исследователей из университета Карнеги-Меллон совместно с компанией Facebook провели (https://www.linshunghuang.com/papers/mitm.pdf) исследование, нацеленное на изучение доли в реальном web-трафике поддельных HTTPS-соединений, установленных в результате MITM-атак (man-in-the-middle). Результаты превзошли все одидания - около 0.2% (6845) из почти трёх с половиной миллионов проанализированных HTTPS-запросов пользователей к социальной сети Fecebook оказались установленными с использованием поддельных SSL-сертификатов, сгенерированных без ведома владельца сайта. Подобные поддельные сертификаты позволяют организовать транзитный перехват трафика, при этом браузер клиента определяет соединение как защищённое и не выводит предупреждений.

Подавляющее большинство запросов с поддельных сертификатов приходится на различные антивирусные системы. На втором месте корпоративные межсетевые экраны и системы отслеживания утечек данных. Подобные системы используют (http://www.opennet.ru/opennews/art.shtml?num=33127) заслуживающие доверия сертификаты антивирусных вендоров или вторичные корневые сертификаты, которые позволяют создать корректный и не вызывающий подозрения сертификат для любого сайта в сети. Суть метода состоит в перехвате соединения клиента и его трансляции через промежуточный локальный прокси, при установке соединения клиента с прокси используется поддельный сертификат, а при соединении прокси с целевым сайтом устанавливается нормальное защищённое соединение.

Примечательно, что среди поддельных сертификатов, выявлено 112 запросов, связанных с активностью вредоносного ПО. В данных запросах фигурировали сертифиткаты, выписанные от имени удостоверяющего центра IopFailZeroAccessCreate, поддельный корневой сертификат которого подставлялся вредоносным ПО в браузеры, после успешных атак на клиентские компьютеры. Во вредоносном ПО поддельные сертификаты используются для организации перехвата паролей в HTTPS-трафике, а также для подстановки собственной рекламы на запрашиваемые пользователем защищённые страницы.

Отмечается, что практика перехвата HTTS-трафика антивирусным ПО представляет потенциальную угрозу - если профессиональные злоумышленники или спецслужбы, в результате кражи или принуждения, получат в свои руки корневой сертификат производителя антивирусного ПО, то они получат возможность контролировать защищённый трафик пользователей данного вендора.

В качестве способа накопления статистики о числе пользователей, применяющих поддельные сертификаты, разработан простой метод (диаграмма справа), основанный на размещении на сайте специальной Flash-вставки, которая осуществляет HTTPS-соединение силами Flash и записывает в журнал используемый в этом соединении сертификат. В дальнейшем, владелец сайта может оценить записи в журнале, в которых фигурируют поддельные сертификаты.

<center><img src="http://www.opennet.ru/opennews/pics_base/0_1399872220.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></center>

URL: http://arstechnica.com/security/2014/05/significant-portion-.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=39751

Исходное сообщение
"Объём HTTPS-трафика с поддельных сертификатов оценен в 0.2% " Отправлено opennews, 12-Май-14 10:29
Группа исследователей из университета Карнеги-Меллон совместно с компанией Facebook провели (https://www.linshunghuang.com/papers/mitm.pdf) исследование, нацеленное на изучение доли в реальном web-трафике поддельных HTTPS-соединений, установленных в результате MITM-атак (man-in-the-middle). Результаты превзошли все одидания - около 0.2% (6845) из почти трёх с половиной миллионов проанализированных HTTPS-запросов пользователей к социальной сети Fecebook оказались установленными с использованием поддельных SSL-сертификатов, сгенерированных без ведома владельца сайта. Подобные поддельные сертификаты позволяют организовать транзитный перехват трафика, при этом браузер клиента определяет соединение как защищённое и не выводит предупреждений. Подавляющее большинство запросов с поддельных сертификатов приходится на различные антивирусные системы. На втором месте корпоративные межсетевые экраны и системы отслеживания утечек данных. Подобные системы используют (http://www.opennet.ru/opennews/art.shtml?num=33127) заслуживающие доверия сертификаты антивирусных вендоров или вторичные корневые сертификаты, которые позволяют создать корректный и не вызывающий подозрения сертификат для любого сайта в сети. Суть метода состоит в перехвате соединения клиента и его трансляции через промежуточный локальный прокси, при установке соединения клиента с прокси используется поддельный сертификат, а при соединении прокси с целевым сайтом устанавливается нормальное защищённое соединение. Примечательно, что среди поддельных сертификатов, выявлено 112 запросов, связанных с активностью вредоносного ПО. В данных запросах фигурировали сертифиткаты, выписанные от имени удостоверяющего центра IopFailZeroAccessCreate, поддельный корневой сертификат которого подставлялся вредоносным ПО в браузеры, после успешных атак на клиентские компьютеры. Во вредоносном ПО поддельные сертификаты используются для организации перехвата паролей в HTTPS-трафике, а также для подстановки собственной рекламы на запрашиваемые пользователем защищённые страницы. Отмечается, что практика перехвата HTTS-трафика антивирусным ПО представляет потенциальную угрозу - если профессиональные злоумышленники или спецслужбы, в результате кражи или принуждения, получат в свои руки корневой сертификат производителя антивирусного ПО, то они получат возможность контролировать защищённый трафик пользователей данного вендора. В качестве способа накопления статистики о числе пользователей, применяющих поддельные сертификаты, разработан простой метод (диаграмма справа), основанный на размещении на сайте специальной Flash-вставки, которая осуществляет HTTPS-соединение силами Flash и записывает в журнал используемый в этом соединении сертификат. В дальнейшем, владелец сайта может оценить записи в журнале, в которых фигурируют поддельные сертификаты. <center><img src="http://www.opennet.ru/opennews/pics_base/0_1399872220.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></center> URL: http://arstechnica.com/security/2014/05/significant-portion-.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=39751

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Группа исследователей из университета Карнеги-Меллон совместно с компанией Facebook провели 
> (https://www.linshunghuang.com/papers/mitm.pdf) исследование, нацеленное на изучение 
> доли в реальном web-трафике поддельных HTTPS-соединений, установленных в результате  MITM-атак 
> (man-in-the-middle). Результаты превзошли все одидания - около 0.2% (6845) из почти 
> трёх с половиной миллионов проанализированных HTTPS-запросов пользователей к социальной 
> сети Fecebook оказались установленными  с использованием поддельных SSL-сертификатов, 
> сгенерированных без ведома владельца сайта. Подобные поддельные сертификаты позволяют 
> организовать транзитный перехват трафика, при этом браузер клиента определяет соединение 
> как защищённое и не выводит предупреждений.

> Подавляющее большинство запросов с поддельных сертификатов приходится на различные антивирусные 
> системы. На втором месте корпоративные межсетевые экраны и системы отслеживания утечек 
> данных.  Подобные системы используют (http://www.opennet.ru/opennews/art.shtml?num=33127) 
> заслуживающие доверия сертификаты антивирусных вендоров или вторичные корневые сертификаты, 
> которые позволяют создать корректный и не вызывающий подозрения сертификат для любого 
> сайта в сети. Суть метода состоит в перехвате соединения клиента и 
> его трансляции через промежуточный локальный прокси, при установке соединения клиента 
> с прокси используется поддельный сертификат, а при соединении прокси с целевым 
> сайтом устанавливается нормальное защищённое соединение.

> Примечательно, что среди поддельных сертификатов, выявлено 112 запросов, связанных с активностью 
> вредоносного ПО. В данных запросах фигурировали сертифиткаты, выписанные от имени удостоверяющего 
> центра IopFailZeroAccessCreate, поддельный корневой сертификат которого подставлялся 
> вредоносным ПО в браузеры, после успешных атак на клиентские компьютеры. Во 
> вредоносном ПО поддельные сертификаты используются для организации перехвата паролей 
> в HTTPS-трафике, а также для подстановки собственной рекламы на запрашиваемые пользователем 
> защищённые страницы.

> Отмечается, что практика перехвата HTTS-трафика антивирусным ПО представляет потенциальную 
> угрозу - если профессиональные злоумышленники или спецслужбы, в результате кражи или 
> принуждения, получат в свои руки корневой сертификат производителя антивирусного ПО, то 
> они получат возможность контролировать защищённый трафик пользователей данного вендора.

> В качестве способа накопления статистики о числе пользователей, применяющих поддельные 
> сертификаты, разработан простой метод (диаграмма справа), основанный на размещении на 
> сайте специальной Flash-вставки, которая осуществляет HTTPS-соединение силами Flash 
> и записывает в журнал используемый в этом соединении сертификат. В дальнейшем, 
> владелец сайта может оценить записи в журнале, в которых фигурируют поддельные 
> сертификаты.

> <center><img src="http://www.opennet.ru/opennews/pics_base/0_1399872220.png" style="border-style: 
> solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></center>

> URL: http://arstechnica.com/security/2014/05/significant-portion-of-https-web-connections-made-by-forged-certificates/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=39751

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру