`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Проверка вскрыла плачевное состояние TLS-безопасности

0 
 

Проверка вскрыла плачевное состояние TLS-безопасности

Средства для контроля зашифрованного трафика, реализованные либо программно, либо в виде специализированных устройств, применяются в корпоративных сетях уже более двух десятилетий. Создаваемый ими промежуточный TLS-прокси сканирует трафик HTTPS в поисках вредоносного ПО, фишинговых ссылок или в целях проверки соответствия требованиям законодательства и национальной безопасности. Для этого трафик сначала раскодируется, а после проверки шифруется повторно и направляется на сервер-получатель при помощи имитирующего браузер собственного TLS-клиента, находящегося во внешней сети.

Из-за усложнения технологий, обеспечивающих TLS-трафик, вендорам становится всё труднее корректно поддерживать все типы соединений, без ухудшения качества шифрования HTTPS. Несмотря на то, что об этой проблеме известно и с ней борются уже около 10 лет, некоторые производители до сих пор не смогли обеспечить сохранение необходимого уровня безопасности TLS-соединений, проходящих через их оборудование/ПО.

В конце прошлого месяца на arXiv.org было опубликовано обстоятельное академическое исследование этой проблемы, выполненное тремя исследователями из Университета Конкордиа в Монреале (Канада). С помощью созданного ими фреймворка авторы проанализировали поведение 17 версий 13 сетевых TLS-инструментов разного класса (бесплатных, с открытым кодом, низко- и высокоуровневых).

Проверка принесла результаты: уязвимыми оказались почти все рассматривавшиеся продукты.

Например, выяснилось, что WebTitan, UserGate и Comodo не выполняют валидацию TLS. Comodo и Endian по умолчанию считают всё сертификаты проверенными, а Cacheguard принимает самостоятельно подписанные сертификаты TLS.

Trend Micro, McAfee и Cacheguard используют предварительно сгенерированные пары ключей (хотя документация McAfee и утверждает обратное). Четыре устройства — от UserGate, WebTitan, Microsoft и Comodo — принимают собственные сертификаты для контента, доставляемого извне. Частные ключи хранятся на устройстве и их можно легко извлечь, используя другие уязвимости.

Атака BEAST позволяет получить аутентификационные файлы куки пользователей TLS-средств от Microsoft, Cisco и TrendMicro, а клиенты Sophos, Cacheguard, OpenSense, Comodo и Endian принимают сертификаты RSA-512, приватные ключи для которых легко подделываются в течение четырёх часов.

Канадские авторы утверждают, что после двух серий испытаний в 2017-2018 гг. они информировали о найденных недостатках поставщиков соответствующих TLS-продуктов, но получили неоднозначный отклик.

«Многие производители полностью игнорировали проблемы безопасности (Untangle, Microsoft, UserGate и pfSense), — рассказали они. — Ещё больше тревожит, что некоторые продукты даже стали хуже (Cisco), а в ряде случаев исправленные версии продуктов привнесли новые уязвимости по сравнению с их более старыми вариантами (WebTitan)».

Между тем, как указывают исследователи, в TLS-средствах достаточно легко обеспечить тот же уровень безопасности, что и в современных веб-браузерах. Поскольку TLS-сервер служит посредником для сетевого соединения Веба с клиентом, для него применимы те же простые принципы конфигурирования защиты, которые действуют для любого сервера HTTPS.

Про DCIM у забезпеченні успішної роботи ІТ-директора

0 
 

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT