Безопасность большинства крупных сайтов оставляет желать лучшего
Организация Trustworthy Internet Movement на прошлой неделе опубликовала доклад, в котором сообщает что девять десятых из двухсот тысяч крупных интернет-сайтов могут с лёгкостью подвергнуться распространённым видам так называемых SSL атак (Secure Sockets Layer). Стоит напомнить, что Trustworthy Internet Movement не занимается предпринимательской деятельностью, а организована специально для решения проблем безопасности, конфиденциальности и надёжности глобальной сети.
Доклад базируется на информации, которая была собрана в ходе нового реализуемого организацией проекта, который называется SSL Pulse. В проекте задействована технология автоматического сканирования, которая была создана фирмой Qualys, являющейся поставщиком программного обеспечения в области безопасности. В ходе мониторинга были проверены первые 200 тысяч сайтов, отмеченных в рейтинге аналитической фирмы Alexa. Во время исследования проверке подвергались протоколы, поддерживаемые сайтами с HTTPS. Это может быть TLS 1.0, TLS 1.1, SSL 2.0, SSL 3.0 и т.п. Также проверялась длина ключа, который используется для обеспечения связи. Она может составлять 512 бит, 1024 бит, 2048 бит и т.д. И ещё проверяли размер поддерживаемого кода, который может быть 256 бит, 128 бит и ниже.
50% веб-страниц из первых двухсот тысяч рейтинга аналитической фирмы Alexa, которые поддерживают HTTPS, были удостоены отметки «А» за свою конфигурацию, что означает использование актуальных протоколов, безопасного кода и объёмных ключей.
Однако, лишь одной десятой из всех проверенных веб-страниц был дан статус по-настоящему надёжных. По данным ресурса PCworld, 75%, что составляет 148 тысяч сайтов, не смогли противостоять атаке, которая называется BEAST. Этот вид атаки показали исследователи в области конфиденциальности Тай Дуонг и Джулиано Риццо на конференции, которая прошла в сентябре 2011 года в Буэнос-Айресе. Это использование на практике устаревшей теоритической атаки и воздействие на блоки SSL/TLS шифров, типа Triple-DES и AES.
Директор по инжинирингу фирмы Qualys Иван Ристич поясняет, что самым простым путём для отражения сервером BEAST атаки является постановка шифра RC4 приоритетным для HTTPS соединений, так как RC4 – это потоковый шифр, который может на 100% противостоять подобной атаке. Помимо поддержки нескольких протоколов HTTPS-серверы могут поддерживать несколько шифров для обеспечения совместимости с разными клиентами. На сервере также можно выставить определённые настройки, которые будут указывать порядок использования шифров, при этом приоритетным должен быть установлен RC4. Ристич считает, что большая часть администраторов просто не предполагает, как важно выполнить эту задачу.
Новые браузеры уже оснащены защитой от атак BEAST, но некоторые люди, особенно в бизнесе пользуются устаревшими браузерами типа Internet Explorer 6, которые являются очень уязвимыми для подобных атак.
По результатам исследования SSL Pulse также выяснилось, что из 200 тысяч проверенных сайтов 13% не препятствуют перенаправлению по опасным SSL-соединениям. Подобный риск особенно опасен для сайтов, которые принадлежат дорогостоящим компаниям, например банкам, финансовым учреждениям и т.п. Ристич поясняет, что исправить эти недостатки можно очень просто – нужно применить патч.
Trustworthy Internet Movement собирается проводить похожие SSL-проверки каждый месяц, чтобы обновлять статистику. Подобные мероприятия помогут проследить продвижение в повышении уровня безопасности крупных веб-страниц.
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться и принять участие в жизни нашего интернет-сообщества, либо войти на сайт под своим именем.