přejít na obsah přejít na navigaci

Linux E X P R E S, Některé nástroje pro odposlech HTTPS oslabují bezpečnost

Některé nástroje pro odposlech HTTPS oslabují bezpečnost

Hrozba

Některé nástroje, které firmy využívají pro odposlech a analýzu komunikace přes HTTPS, snižují bezpečnost této komunikace. Používají zastaralé algoritmy a protokoly, neověřují certifikáty nebo obsahují známé zranitelnosti.


Bezpečnostní tým z několika univerzit a firem testoval různé nástroje, které firmy používají pro odposlech a analýzu šifrované komunikace protokolem HTTPS (především s cílem odfiltrovat malware). Testovaly se jak samostatné „krabičky“ (middleboxes) a proxy servery, tak i antivirové programy, které tuto funkcionalitu rovněž nabízejí.

K odposlechu HTTPS je samozřejmě potřeba do komunikace vstoupit stylem „man in the middle“. To se zajistí tím, že se kořenový certifikát výrobce nástroje přidá mezi důvěryhodné certifikační autority v systému, resp. prohlížeči.

Výsledky ukázaly, že některé produkty výrazně oslabují bezpečnost. Používají zastaralé algoritmy a protokoly (RC4, RC2, DES, SSLv2...), neověřují certifikáty serverů nebo obsahují známé bezpečnostní zranitelnosti (Logjam, CRIME, FREAK, BEAST apod.). Předmětem testu nebyly pokročilejší metody zabezpečení, například HSTS, HPKP nebo ověřování Certificate Transparency.

Nahoru

Příspěvky

Tomáš Crhonek Některé nástroje pro odposlech HTTPS oslabují bezpečnost
Tomáš Crhonek 22. 03. 2017, 10:11:33
Odpovědět  Odkaz 
Hehe, zrovna kolega řeší, proč má v SSL logu hlášky o tom, že se server s klientem nedokázal dohodnout na společné šifře. A to je ten server nastaven ještě velmi konzervativně.
Lukáš Jelínek Re: Některé nástroje pro odposlech HTTPS oslabují bezpečnost
Lukáš Jelínek 22. 03. 2017, 12:57:42
Odpovědět  Odkaz 
Někdy to bývá opačně - problémy jsou na straně serveru a vidí je klient. Opakovaně jsem to zažil například u webu https://portal.ote-cr.cz (portál Operátora trhu s energiemi). Netuším, co tam s tím dělají.

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře, podniká v oblasti IT a zároveň pracuje v týmu projektu Turris. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Kubuntu, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog



Public Relations

Rozšiřující analytické funkce řešení Flowmon

ALEF FlowmonZnámým systémem pro sle­do­vá­ní toků v síti je ře­še­ní spo­leč­nos­ti Flow­mon. V zá­k­la­du se po­u­ží­vá pro mo­ni­to­ro­vá­ní da­to­vých toků v síti a k ře­še­ní pro­b­lé­mů s tou­to ko­mu­ni­ka­cí. Při po­u­ži­tí Flow­mon sond se vi­di­tel­nost do ko­mu­ni­ka­ce dos­tá­vá až na úro­veň ap­li­ka­cí. Kromě to­ho­to zá­k­lad­ní­ho mo­ni­to­rin­gu a ná­s­tro­je na ře­še­ní pro­b­lé­mů má Flow­mon také rozšiřující moduly.

Pokračování ...


Redakční blog

Pavel Fric

Pavel Fric, 10. April

Zapojte se do tvorby distribuce Mageia

Podílejte se na vytváření balíčků pro Mageiu, dělejte, co je potřeba, staňte se baličem


Pavel Fric

Pavel Fric, 13. March

Lollypop

Lollypop je hudební přehrávač navržený, jak ukazuje jeho podoba, aby výborně zapadl do pracovního...


Pavel Fric

Pavel Fric, 26. February

QElectroTech

Kreslení elektrotechnických i jiných výkresů


Všechny blogy »