Slijede razlike između dviju inačica stranice.
Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
racfor_wiki:napadi_na_https [2021/01/18 01:00] fsodic [4.2 Napadi na pretpostavke protokola] |
racfor_wiki:napadi_na_https [2023/06/19 18:17] (trenutno) |
||
---|---|---|---|
Redak 97: | Redak 97: | ||
=== 4.1.2 Napad BEAST === | === 4.1.2 Napad BEAST === | ||
- | //BEAST// je kratica za //Browser Exploit Against SSL/TLS//. Riječ je // | + | //BEAST// je kratica za //Browser Exploit Against SSL/TLS//. Riječ je // |
Od napada se najbolje obraniti konfiguriranjem poslužitelja da ne podržava TLS 1.0 ili bilo koju verziju SSL-a. Dok god su navedene verzije protokola podržane, poslužitelj je ranjiv. | Od napada se najbolje obraniti konfiguriranjem poslužitelja da ne podržava TLS 1.0 ili bilo koju verziju SSL-a. Dok god su navedene verzije protokola podržane, poslužitelj je ranjiv. | ||
Redak 110: | Redak 110: | ||
- Odgovore koji pristižu s poslužitelja napadač vraća klijentu putem HTTP-a, odnosno, bez dodatne enkripcije | - Odgovore koji pristižu s poslužitelja napadač vraća klijentu putem HTTP-a, odnosno, bez dodatne enkripcije | ||
- Napadač može nesmetano čitati i mijenjati poruke, čak i kad poslužitelj dopušta isključivo sigurne veze (jer je iz perspektive poslužitelja uspostavljena sigurna veza) | - Napadač može nesmetano čitati i mijenjati poruke, čak i kad poslužitelj dopušta isključivo sigurne veze (jer je iz perspektive poslužitelja uspostavljena sigurna veza) | ||
- | SSL Strip napda sigurnost HTTPS tako da ga na dijelu komunikacijskog kanala uopće ne koristi. Uobičajeni tijek komunikacije prikazan je slikom 3. Slika 4 prikazuje uspješno provođenje napada. | + | SSL Strip napada |
{{ : | {{ : | ||
Redak 118: | Redak 118: | ||
{{ : | {{ : | ||
- | Slika 4. Prikaz napada //SSL Strip//. Napadač se postavlja između klijenta i poslužitelja. U trenutku kada bi klijent bio preusmjeren na HTTPS, napadač uspostavlja HTTPS vezu s poslužiteljem, | + | Slika 4. Prikaz napada //SSL Strip//. Napadač se postavlja između klijenta i poslužitelja. U trenutku kada bi klijent bio preusmjeren na HTTPS, napadač uspostavlja HTTPS vezu s poslužiteljem, |
- | Najsigurnija je obrana od //SSL Strip// napada gašenje podrške za HTTP na poslužitelju. Drugim riječima, odrekne li se poslužitelj mogućnosti preusmjeravanja klijenata pri njihovom inicijalnom dolasku na stranicu, prijetnja je u potpunosti otklonjena. Nažalost, spomenuto je rješenje nepraktično te bi poslužitelje koštalo mnogo dolazećeg prometa. | + | Zahvaljujući zaglavlju // |
- | + | ||
- | Ipak, zahvaljujući zaglavlju // | + | |
Konačno, Google pruža uslugu //HSTS preload//. Vlasnici web stranica imaju mogućnost dodati svoju domenu na popis i time osigurati da se na nju preglednici nikad ne pokušavaju spojiti nesigurnom vezom. Iako je riječ o Googleovoj usluzi, svi su proizvođači preglednika obećali podržati uslugu u budućnosti [9]. | Konačno, Google pruža uslugu //HSTS preload//. Vlasnici web stranica imaju mogućnost dodati svoju domenu na popis i time osigurati da se na nju preglednici nikad ne pokušavaju spojiti nesigurnom vezom. Iako je riječ o Googleovoj usluzi, svi su proizvođači preglednika obećali podržati uslugu u budućnosti [9]. | ||
Redak 129: | Redak 127: | ||
Uspije li napadač na bilo koji način doći do tajnih ključeva koje poslužitelji koriste pri autentifikaciji, | Uspije li napadač na bilo koji način doći do tajnih ključeva koje poslužitelji koriste pri autentifikaciji, | ||
- | Naime, dođe li u posjed tajnih ključeva (ili certifikata), | + | Naime, dođe li u posjed tajnih ključeva (ili certifikata), |
Napadač do tajnih certifikata može doći raznim metodama, često potpuno nepovezanim sa samom komunikacijom preko HTTPS-a. | Napadač do tajnih certifikata može doći raznim metodama, često potpuno nepovezanim sa samom komunikacijom preko HTTPS-a. | ||
=== 4.2.2 Nedostatak povjerenja u autoritete za izdavanje certifikata === | === 4.2.2 Nedostatak povjerenja u autoritete za izdavanje certifikata === | ||
- | Kao što je već spomenuto u ranijim poglavljima, | + | Kao što je već spomenuto u ranijim poglavljima, |
- | Upravo su zato autoriteti za izdavanje certifikata najprimamljivija meta kriminalcima, ali i svjetskim vladama te danas predstavljaju najslabiju točku sustava. Kako popularnost i reputacija određenog autoriteta raste, | + | Upravo su zato autoriteti za izdavanje certifikata najprimamljivija meta kriminalcima |
Autoritet za izdavanje certifikata VeriSign izdao je 2001. godine dva certifikata osobi koja je tvrdila da predstavlja Microsoft. Certifikati su nosili ime //Microsoft Corporation// | Autoritet za izdavanje certifikata VeriSign izdao je 2001. godine dva certifikata osobi koja je tvrdila da predstavlja Microsoft. Certifikati su nosili ime //Microsoft Corporation// | ||
- | 2011. godine izvršen je napad na Nizozemski CA DigiNotar koji je rezultirao izdavanjem brojnih lažnih certifikata. Ukupno ih pronađeno oko 500 [13]. Između ostalih, izdani su bili certifikati za tvrtke Yahoo!, Mozilla, WordPress, Google, i Tor. Kasnije je potvrđeno kako su se isti certifikati u Iranu koristili za provođenje // | + | 2011. godine izvršen je napad na Nizozemski CA DigiNotar koji je rezultirao izdavanjem brojnih lažnih certifikata. Ukupno ih pronađeno oko 500 [13]. Između ostalih, izdani su bili certifikati za tvrtke Yahoo!, Mozilla, WordPress, Google, i Tor. Kasnije je potvrđeno kako su se isti certifikati u Iranu koristili za provođenje // |
===== Zaključak ===== | ===== Zaključak ===== | ||
U seminaru je dan kratak pregled sigurnosnih nadogradnji na HTTP koje omogućuje TLS, odnosno, HTTPS. Analizirane su moguće strategije napada na protokol te je pokazano da najuspješnije od njih protokol u potpunosti zaobilaze, bilo // | U seminaru je dan kratak pregled sigurnosnih nadogradnji na HTTP koje omogućuje TLS, odnosno, HTTPS. Analizirane su moguće strategije napada na protokol te je pokazano da najuspješnije od njih protokol u potpunosti zaobilaze, bilo // | ||
Redak 154: | Redak 152: | ||
- | [2] [[http://www.google.com/books? | + | [2] [[https://www.netsparker.com/blog/ |
[3] [[https:// | [3] [[https:// |