Útoky na šifrované spojení pomocí man-in-the-middle
Transkript
Útoky na šifrované spojení pomocí man-in-the-middle
Útoky na šifrované spojení pomocí man-in-the-middle Radek Krejčí Pavel Čeleda [email protected] [email protected] Ústav výpočetní techniky, Masarykova univerzita část I Co všichni znáte a o čem prezentace není R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-the-middle 2 / 15 Všichni víme, že man-in-the-middle na SSL obvykle vede na podvržení certifikátu uživatel se prostě prokliká přes varování prohlížeče u některých serverů neznamená varování o nedůvěryhodném certifikátu útok (https://www.is.muni.cz) R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-the-middle 3 / 15 část II Co už všichni neznáte a o čem prezentace je R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-the-middle 4 / 15 Hrozba návaznost na výzkum botnetu Chuck Norris slabé zabezpečení SOHO zařízení ideální zbraň pro man-in-the-middle útoky SSL Strip neútočíme přímo na HTTPS sledujeme HTTP a kontrolujeme přechod na HTTPS v principu jde o transparentní HTTP proxy demonstrováno v únoru 2009 na Black Hat DC autorem Moxie Marlinspike R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-the-middle 5 / 15 Komunikace - jak to má být webová�služba přístupový�bod R. Krejčí, P. Čeleda uživatel 86.49.xxx.yyy https://inet.muni.cz Útoky na šifrované spojení pomocí man-in-the-middle 6 / 15 Komunikace - jak to má být webová�služba přístupový�bod uživatel 86.49.xxx.yyy https://inet.muni.cz GET�HTTP�inet.muni.cz R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-the-middle 6 / 15 Komunikace - jak to má být webová�služba přístupový�bod uživatel 86.49.xxx.yyy https://inet.muni.cz GET�HTTP�inet.muni.cz HTTP�301�Moved�Permanently https://inet.muni.cz R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-the-middle 6 / 15 Komunikace - jak to má být webová�služba přístupový�bod uživatel 86.49.xxx.yyy https://inet.muni.cz GET�HTTP�inet.muni.cz HTTP�301�Moved�Permanently https://inet.muni.cz R. Krejčí, P. Čeleda SSL�inet.muni.cz�Client�hello Útoky na šifrované spojení pomocí man-in-the-middle 6 / 15 Komunikace - jak to má být webová�služba přístupový�bod uživatel 86.49.xxx.yyy https://inet.muni.cz GET�HTTP�inet.muni.cz HTTP�301�Moved�Permanently https://inet.muni.cz SSL�inet.muni.cz�Client�hello SSL�Server�hello ... R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-the-middle 6 / 15 Komunikace - SSL Strip webová�služba přístupový�bod uživatel https://inet.muni.cz (mitm�-�sslstrip) 86.49.xxx.yyy R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-the-middle 7 / 15 Komunikace - SSL Strip webová�služba přístupový�bod uživatel https://inet.muni.cz (mitm�-�sslstrip) 86.49.xxx.yyy GET�HTTP�inet.muni.cz R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-the-middle 7 / 15 Komunikace - SSL Strip webová�služba přístupový�bod uživatel https://inet.muni.cz (mitm�-�sslstrip) 86.49.xxx.yyy GET�HTTP�inet.muni.cz HTTP�301�Moved�Permanently https://inet.muni.cz R. Krejčí, P. Čeleda HTTP�301�Moved�Permanently http://inet.muni.cz Útoky na šifrované spojení pomocí man-in-the-middle 7 / 15 Komunikace - SSL Strip webová�služba přístupový�bod uživatel https://inet.muni.cz (mitm�-�sslstrip) 86.49.xxx.yyy GET�HTTP�inet.muni.cz R. Krejčí, P. Čeleda HTTP�301�Moved�Permanently https://inet.muni.cz HTTP�301�Moved�Permanently http://inet.muni.cz SSL�inet.muni.cz�Client�hello GET�HTTP�inet.muni.cz Útoky na šifrované spojení pomocí man-in-the-middle 7 / 15 Komunikace - SSL Strip webová�služba přístupový�bod uživatel https://inet.muni.cz (mitm�-�sslstrip) 86.49.xxx.yyy GET�HTTP�inet.muni.cz HTTP�301�Moved�Permanently https://inet.muni.cz HTTP�301�Moved�Permanently http://inet.muni.cz SSL�inet.muni.cz�Client�hello GET�HTTP�inet.muni.cz ... SSL�Server�hello HTTP�200�OK R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-the-middle 7 / 15 část III Kdo je ohrožen? R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-the-middle 8 / 15 Obecně pro vytvoření pozice MITM je obvykle používán ARP spoofing HTTP v kombinaci s Chuckem Norrisem nic takového není zapotřebí – SSL strip je umístěn přímo na bráně uživatele k Internetu hrozba pro všechny uživatele používající pro připojení lokální sítě nejrůznější SOHO zařízení R. Krejčí, P. Čeleda LAN webové poštovní�služby HTTPS informační systémy Útoky na šifrované spojení pomocí man-in-the-middle webové servery internetové bankovnictví 9 / 15 Konkrétně R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-the-middle 10 / 15 část IV Jak se bránit? R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-the-middle 11 / 15 Na straně serveru podpora šifrované komunikace na všech stránkách přidání kódu (JavaScript), který na straně klienta ověří použítí šifrovaného protokolu implementace Strict Transport Security http://www.w3.org/Security/wiki/Strict_Transport_Security vyžadování klientských certifikátů R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-the-middle 12 / 15 Na straně správců sítě důkladné monitorování odchylek v chování klientů výzkum v oblasti detekce transparentních proxy R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-the-middle 13 / 15 Na straně uživatelů osvěta uživatelů – při zadávání citlivých údajů musí adresa v adresním řádku začínat https:// plugin prohlížeče, který kontrolu provede sám Např. HTTPS Everywhere (https://www.eff.org/https-everywhere/) Strict Transport Security v prohlížeči (Chrome, NoScript) používání klientských certifikátů R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-the-middle 14 / 15 Děkuji za pozornost! Pavel Čeleda [email protected] Radek Krečí [email protected] R. Krejčí, P. Čeleda Útoky na šifrované spojení pomocí man-in-themiddle Útoky na šifrované spojení pomocí man-in-the-middle 15 / 15