Eurax

Chciałbym Zaznaczyć
Na swoim Blogu umieszczam nie tylko swoje artykuły.Przy innych publikacjach umieszczę źródło.

Co To Jest SSL ?

Doniesienia o phishingu, fałszywych witrynach za pomocą których wyłudzane są numeru kart kredytowych łącznie z podaniem PIN typu:
DI

Sprytniejszy atak na klientów BZ WBK 24

Przestępcy wyciągnęli wnioski i dziś od rana zalali polskich internautów fałszywymi e-mailami, tym razem napisanymi poprawną polszczyzną oraz innymi w języku angielskim. Kolejny atak typu phishing na klientów banku BZ WBK 24 jest też bardziej przemyślany.

Dwa tygodnie temu przeprowadzono nieudolny atak na klientów BZ WBK, próbując wyłudzić numery kart kredytowych wraz datą ważności i kodem PIN. Tym razem przestępcy trochę bardziej się postarali.....

sprawiły, że jestem trochę ostrożniejszy. Logując się do bankowego konta poświęcam chwilę uwagi, aby sprawdzić pewne "detale" - przynajmniej to czy przeglądarka wyświetla charakterystyczną, żółtą kłódeczkę SSL ( IE ) ,czy nagłówek w adresie zaczyna się od "https" ( w przypadku mojego banku ). Obecność "żółtej kłódeczki" nie zapewni nam jednak bezpieczeństwa komunikacji, ani nie da gwarancji, że jesteśmy połączeni z właściwym serwerem.
No dobrze, ale ktoś może zapytać a co to jest ta "żółta kłódka SSL" ?
To nic innego jak wskaźnik ,że jest aktualnie stosowany( IE stosuje ) protokół SSL. Protokół SSL (ang.Secure Sockets Layer), stworzony na początku lat 90-tych przez Netscape w początkowej wersji SSLv2 posiadał poważne słabości. Wersja SSLv3 stała się standardem de facto jeśli chodzi o bezpieczeństwo sesji HTTP. Pod koniec lat 90-tych SSL wziął pod swoje skrzydła IETF (ten od standardów RFC) i kontynuuje jego rozwój pod nazwą TLS (Transport Layer Security, w 2006 roku wyszła nowa wersja TLS 1.1). Ponieważ większość przeglądarek i serwerów WWW nadal ustawia jako domyślny protokół SSLv3, więc powszechnie mówi się o protokole SSL/TLS mając na myśli SSLv3, TLS 1.0 lub TLS 1.1, które są w dużym stopniu wstecznie kompatybilne.
Protokół SSL/TLS zapewnia następujące funkcje bezpieczeństwa:
  • Uwierzytelnienie serwera - czyli potwierdzenie jego autentyczności certyfikatem X.509
  • Poufność i integralność transmisji - czyli ochronę przed podsłuchaniem wrażliwej treści na trasie między serwerem i przeglądarką, lub jej nieuprawnioną modyfikacją;
  • uwierzytelnienie w SSL/TLS jest asymetryczne i jednostronne - w przeważającej większości zastosowań tylko serwer uwierzytelnia się za pomocą certyfikatu X.509. Klient robi to później, loginem i hasłem, już wewnątrz tunelu SSL/TLS.

Powód dla którego uwierzytelnienia się tylko serwer jest bardzo prosty i pragmatyczny - uwierzytelnienie klienta certyfikatem X.509 wymaga posiadania certyfikatu. A ten przywiązuje klienta albo do konkretnego komputera albo do karty elektronicznej - a ta z kolei wymaga czytnika i sterowników.

Poza ochroną przed podsłuchiwaczami zadaniem SSL/TLS jest przede wszystkim zapewnienie klienta, że łączy się z tym serwerem, z którym rzeczywiście chciał się połączyć. Po to właśnie operator serwera kupuje certyfikat X.509 w centrum certyfikacji. Centrum gwarantuje klientowi, że łącząc się przez SSL z serwerem ( przykład) https://wbkbz.pl/ łączy się faktycznie z serwerem, który ma prawo posługiwać się tą nazwą. Oraz, że serwis ten należy do "WBK BZ SA" z Poznania (? tu się mogę mylić czy aby napewno WBK BZ ma siedzibę w Poznaniu) .

Reasumując,protokół SSL, jak każdy mechanizm bezpieczeństwa, jest protokołem silnym tylko pod warunkiem poprawnego wykorzystania. Tymczasem w praktyce, z powodu braku zrozumienia pewnych niuansów implementacji tej technologii, administratorzy zbyt często popełniają błędy. Powodują one, że zabezpieczenie komunikacji poprzesz SSL jest w dużej mierze fikcyjne.

Źródła:

  1. SSL -Wikipedia Wolna Encyklopedia.
  2. Stephen Thomas - "SSL and TLS Essentials", Wiley and Sons 2000.
  3. http://www.securitynet.pl/
  4. Dafydd Stuttard and Marcus Pinto - "The Web Application Hacker’s Handbook",Wiley Publishing, Inc 2008.
  5. Simson Garfinkel & Eugene H. Spafford - "Web Security & Commerce" O'Reilly
  6. Bret Hartman,Donald J. Flinn,Konstantin Beznosov,Shirley Kawamoto - "Mastering Web Services Security" , Wiley Publishing, Inc.,2003

środa, kwietnia 02, 2008 | Etykiety: |

This entry was posted on środa, kwietnia 02, 2008 and is filed under Bezpieczeństwo . You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

0 komentarze:

Prześlij komentarz

Subskrybuj: Komentarze do posta (Atom)

Bloggerized By GosuBlogger.
Design by Luka Cvrk. Wordpressed by Ego with the help of Gift Baskets. Archived by WP Themes