HTTPS – CZY NA PEWNO ZABEZPIECZA?
2018.06.02
Komunikacja między naszym komputerem a żądaną witryną internetową powinna zapewniać bezpieczeństwo transferu danych. Nie zapominajmy, że wchodząc na witryny, dostarczamy im o sobie sporo informacji. Ta wiedza często nam umyka.
Takie bezpieczeństwo transferu zapewnia HTTPS, czyli szyfrowany HTTP. Szyfrowanie SSL/TLS nie tylko potwierdza wiarygodność witryny i jej właściciela, ale także zapobiega przechwytywaniu przesyłanych danych.
W czym więc problem?
Większość przeglądarek traktuje witryny bez literki „s” jako potencjalnie niebezpieczne. Najczęściej użytkownik musi potwierdzić, że rzeczywiście chce na taką stronę wejść.
Ale, o ile jeszcze kilka lat temu https był rzadko stosowany, gdyż wymagał dodatkowych opłat, o tyle obecnie często jest oferowany razem z domeną i hostingiem w pakiecie. Bez dodatkowej opłaty. Tak więc każdy, również przestępca, może taką domenę kupić. Zakup domeny jest prostszy niż kupno chleba. Bo po chleb trzeba wyjść z domu.
Strona z zabawkami, która wyłudzała pieniądze. Posługiwała się poprawnym i autentycznym certyfikatem. Jak widać została zawieszona.
Dla użytkowników, pojawienie się zielonej kłódki przed adresem strony, jest wystarczającym świadectwem jej zabezpieczeń. Kto z nas sprawdza certyfikat i dokładny adres? Przecież nie da się korzystać z Internetu cały czas kontrolując te dane.
Domenę łatwo kupić
I to z „zieloną kłódką”. A spora liczba wyłudzeń polega na podstawieniu witryny o podobnym adresie, różniącym się na przykład tylko jedną literką. Spreparowana witryna, powiedzmy banku, dostarczy złodziejom Twoje dane logowania, a Ty nawet tego nie zauważysz.
Na pytanie tytułowe oczywistą odpowiedzią jest „tak, zabezpiecza”. Ale … zabezpiecza przesył informacji z witryną, której adres widnieje na pasku. Natomiast nie daje, niestety, gwarancji, że jest to witryna, z którą chciałeś się połączyć.
Certyfikat SSL klasy DV (Domain Validation) potwierdza tylko, że dany podmiot ma prawo posługiwać się daną domeną. Czyli pan Kowalski kupił domenę i certyfikat SSL do niej.
Fałszywe certyfikaty i fałszywe domeny
Już w zeszłym roku The Hacker News donosił o odkryciu chińskiego badacza. Korzystając z faktu, że można tworzyć adresy URL korzystając ze znaków w różnych językach (nie tylko alfabetu łacińskiego), a znaki mogą być podobne lub takie same jak łacińskie, można utworzyć adresy „identyczne” jak te znanych i szanowanych domen. Nie wysilając się zbytnio i korzystając wyłącznie z funkcji „wstaw znak specjalny” zapisaliśmy nazwę firmy jako „ехтеІ” (cyrylicą) i „ΕΧΤΕL” (grecki podstawowy).
Wystarczy podpisać taką domenę fałszywym certyfikatem (bo certyfikaty też można sfałszować), albo prawdziwym (przypisanym do fałszywej domeny). Uzyskuje się „zaufaną” domenę, prawie nie do odróżnienia od prawdziwej. Informacje o fałszowaniu certyfikatów ssl pojawiają się już od kilku lat. Ale o tym w innym artykule.
Akademia Extel jest niekomercyjnym programem edukacyjnym kierowanym przede wszystkim do menadżerów i pracowników firm. O nowych artykułach informujemy poprzez newsletter. Napisz do nas