5.07.2023

Басты бет / Деректерді беру қауіпсіздігі бойынша ұсыныстар

Деректерді беру қауіпсіздігі бойынша ұсыныстар

Пайдаланушы басқару тақтасына, принтерлерге, маршрутизаторларға, коммутаторларға, IP-телефондарға, мобильді қосымшаларға, деректерді жинау құралдарына, әскери қосымшаларға және Wi-Fi шлюздеріне өткен кезде, ақпарат компьютер мен сервер арасындағы жолда ұсталып қалмайтынын және оқылмайтынын түсіну маңызды.

SSL (Secure Sockets Layer) орнына TLS (transport Layer Security) келгенге дейін интернет-коммуникациялар үшін ең танымал криптографиялық хаттама болды. SSL сертификаты – бұл қауіпсіздік технологиясы, оның көмегімен браузер мен сервер арасындағы байланыс шифрланады. Мұндай сертификаттың көмегімен хакерлерге пайдаланушы деректерін ұрлау немесе ауыстыру әлдеқайда қиын.

SSL криптографиялық протоколы ескірген деп танылды, алайда Интернетте «GoAhead Embedded Web Server»-де орнатылған SSL 2.0 және SSL 3.0-де жұмыс істейтін құрылғылар әлі де бар.

KZ-CERT мамандары деректерді беру қауіпсіздігі бойынша ұсыныстар дайындады, төменде сіз олармен таныса аласыз.

GoAhead веб-серверіндегі осалдықтар:

CVE-2019-5096

Multi-part/form-data HTTP-сұрау салуларын өңдеу кезінде еркін кодты орындаумен байланысты осалдық. Арнайы жасалған HTTP-сұрау салу үйіндіге зақым келтіру үшін пайдаланылуы мүмкін осындай сұрау салуды өңдеу кезінде босатылғаннан кейін (use-after-free) пайдалану шартына әкелуі мүмкін, бұл кодтың ерікті түрде орындалуына әкелуі мүмкін. Осы осалдықты пайдаланып жасалған шабуыл аутентификацияны қажет етпейді және серверде сұралған ресурстың болуын талап етпейді.

CVE-2019-5097

multipart/form-data HTTP-сұрау салуларын өңдеу кезінде HTTP-өңдегіш шексіз цикл күйіне ауыстырылуы мүмкін, бұл (denial-of-service)  ЦП 100% жүктелуіне әкеледі. Егер клиенттік байланыс қызмет Content-Length тақырыбында көрсетілген деректер көлемін алғанға дейін үзілсе, сервер үздіксіз жауапты өшірілген сокетке жіберуге тырысады. Осы осалдықты пайдалана отырып жасалған шабуыл аутентификацияны қажет етпейді және серверде сұралған ресурстың болуын талап етпейді.

Осалдықтар v. 5.0.1, v. 4.1.1 және v. 3.6.5 нұсқаларының GoAhead Web Server-ге бағытталуы мүмкін.

SSL 2.0 (2011 жылы ескірген болып танылды)

SSL протоколына қарсы бірқатар шабуылдар жасалуы мүмкін. Алайда, пайдаланушы ақпаратты өңдеу үшін тек сенімді серверлерді қолданған жағдайда, SSL бұл шабуылдарға төзімді.

  1. Хабарламаларды аутентификациялау және шифрлау үшін бірдей криптографиялық кілттер қолданылған;
  2. SSL 2.0-де оны шабуылдар алдында осал ететін префикс құпиясы бар MD5 хэш функциясын қолданатын әлсіз MAC құрылымы болған;
  3. SSL 2.0-де қол алысу хаттамасы үшін ешқандай қорғанысы болмаған, яғни ортадағы зиянкес (man-in-the-middle) байқалмай қалуы мүмкін болған;
  4. SSL 2.0 деректердің соңын көрсету үшін ТСР жабық қосылуды пайдаланған кезде. Бұл дегеніміз, келесі шабуыл жасалуы мүмкін дегенді білдіреді: зиянкес алушыны деректерді берудің соңы туралы хабарламасыз қалдырып (SSL 3.0-де бұл қатені түзетті), жай ғана TCP FIN-ті ұқсастырып жасайды;
  5. SSL 2.0 веб-серверлердегі стандартты виртуалды хостинг мүмкіндігіне қайшы келетін бірыңғай қолдау қызметі мен тұрақты доменнің болуын болжаған жағдайларда SSL 2.0 осал болады.

SSL 3.0 (2015 жылы ескірген болып танылды)

2014 жылдың 14 қазанында POODLE (padding Onacle On Downgraded Legacy Encryption) деп аталатын CVE-2014-3566 осалдығы анықталды. Бұл осалдық зиянкеске SSL 3.0 көмегімен шифрланған қосылымға Man-in-the-Middle шабуылын жасауға мүмкіндік береді.

POODLE осалдығы – бұл хаттаманы іске асырудың кез-келген түрі емес, бұл хаттаманың осалдығы, сәйкесінше оған SSL v3 шифрланған барлық қосылыстар әсер етеді.

SSL 3.0-де басқа әлсіз тұстар бар. Мысалы, орнатылатын негізгі мастер-кілтінің жартысы (master key) толығымен MD5 хэш функциясына байланысты, ол коллизияларға төзімді емес, сәйкесінше қауіпсіз болып саналмайды.

SSL хаттамасына жаслатын ықтимал шабуылдардың түрлері:

  1. Bruteforce (сөздік бойынша жасалатын шабуыл)
  2. Replay attack (қайта жүргізу шабуылы) — бұрын жіберілген дұрыс хабарламаларды немесе олардың бөліктерін жазу және кейіннен ойнату арқылы аутентификация жүйесіне жасалған шабуыл. Құпия сөз немесе биометрия сияқты кез-келген өзгермейтін ақпарат жазылуы мүмкін және кейінірек түпнұсқалықты имитациялау үшін қолданылады.
  3. Browser Exploit Against SSL/TLS (BEAST) шабуыл
  4. RC4 шабуыл
  5. Man-in-the-Middle
  6. THC-SSL-DOS
  7. SSLstrip
  8. Шифрларды ашу

SSL 2.0 және SSL 3.0 пайдаланудан болатын ықтимал тәуекелдер

  1. Құпия ақпараттың таралып кетуі: SSL 2 және SSL 3 зиянкестер жіберілген ақпаратты ұстап қалу және шифрын ашу үшін пайдалануы мүмкін осалдықтарға бейім. Бұл логиндер, парольдер, несие карталарының нөмірлері және басқа да жеке мәліметтер сияқты құпия деректердің таралып кетуіне әкелуі мүмкін.
  2. Сертификаттарды ұқсастырып жасау мүмкіндігі: Ескірген SSL 2 және SSL 3 хаттамалары сертификаттардың түпнұсқалығын тексерудің жеткілікті деңгейін қамтамасыз етпейді. Бұл дегеніміз, зиянкестер жалған сертификаттар жасап, өздерін заңды веб-сайттар немесе заңды қызмет көрсетушілер ретінде көрсете алады.
  3. «Қызмет көрсетуден бас тарту» (Ddos) түріндегі шабуылдар: SSL 2 және SSL 3 әртүрлі Ddos шабуылдарына ұшырайды, бұл заңды пайдаланушылардың сервистерге қолжеткізе алмауына әкелуі мүмкін. Бұл веб-сайттардың, электрондық пошта серверлерінің және басқа онлайн қызметтердің жұмысында қиындықтар тудыруы мүмкін.

Ұсынымдар:

  1. GoAhead Web Server-ді өзекті нұсқаға дейін жаңарту;
  2. TLS 1.2 немесе TLS 1.3 жаңа шифрлау протоколына өту.

Соңғы жаңалықтар

“ГТС” АҚ сарапшылары AppSecFest конференциясына қатысты «ГТС» АҚ сарапшылары «Cyber and Digital Security 2024» форумына қатысты Қазақстан Халықаралық киберкеңістіктегі өз позициясын нығайтуда

Санаттар

Жаңалықтар Бос орындар