A co více, v důsledku hnutí, jako je Let’s Encrypt (Šifrujme) – bezplatná, automatizovaná otevřená certifikační autorita (CA) zajišťovaná skupinou ISRG (Internet Security Research Group), došlo k neúmyslnému vytvoření nové řady zranitelností.
Útočníci mohou využít Let’s Encrypt k vytvoření svých vlastních zdánlivě legitimních SSL certifikátů k podepsání škodlivého kódu a k provozování škodlivých webů HTTPS.
Šifrování útočníkům umožňuje ukrýt své exploity před bezpečnostními zařízeními, jako jsou firewally, systémy prevence narušení (IPS) a platformy prevence úniku dat (DLP). Některé z těchto produktů totiž nedokážou dešifrovat přenosy SSL bez snížení svého výkonu, zatímco jiné prostě nemohou přenosy SSL dešifrovat kvůli svému umístění v síti.
Při boji s hrozbami vznikajícími šifrováním SSL by měly firmy dešifrovat a zkontrolovat příchozí a odchozí přenosy pomocí specializované platformy pro kontrolu SSL, která umožní bezpečnostním zařízením třetích stran eliminovat slepé místo korporátní obrany.
Jak proniká malware přes SSL
Tady jsou tři příklady, jak vývojáři malwaru využívají šifrování, aby unikli odhalení.
- Trojský kůň Zeus. Poprvé byl odhalen v roce 2007. Trojský kůň Zeus je jedním z mnoha druhů malwaru, který plně využívá šifrování. Zároveň je i nadále jedním z nejrozšířenějších a nejnebezpečnějších existujících exemplářů finančního malwaru – jen do prosince 2014 způsobil v USA kompromitaci cca čtyř milionů počítačů.
Sadu nástrojů (toolkit) pro útok trojským koněm Zeus široce využívají nesčetné skupiny zločinců. Umožňuje jim vyvinout varianty, které jsou ještě důmyslnější.
Výsledkem byl mimo jiné vznik botnetu Gameover Zeus, který využívá šifrovanou komunikaci peer-to-peer jak pro distribuci malwaru, tak i pro řídicí komunikaci (C&C, Command and Control). FBI odhaduje, že botnet Gameover Zeus je zodpovědný za krádeže více než 100 milionů dolarů.
- Aktualizace C&C z webů sociálních sítí. Některé nové druhy malwaru používají sociální sítě, jako jsou například Twitter a Facebook, a webmail pro řídicí (C&C) komunikaci.
Malware může například přijímat řídicí příkazy z účtů na Twitteru nebo z komentářů na Pinterestu, což zašifruje veškerou komunikaci. Chtějí-li organizace odhalit tyto botnetové hrozby, musejí dešifrovat a kontrolovat přenosy SSL, jinak mohou bezpečnostní analýzy mylně považovat přístup k webům sociálních sítí z klientských počítačů za neškodný.
3. Trojský kůň RAT (Remote Access Trojan)
Německá společnost G Data Software zaměřená na výzkum zabezpečení odhalila trojského koně využívajícího vzdálený přístup (typ RAT), který přijímal příkazy C&C přes e-mailovou službu Yahoo Mail, a pojmenovala ho Win32.Trojan.IcoScript.A.
Od té doby tato firma a také konzultanti společnosti Shape Security objevili další druhy malwaru Icoscript, které přijímaly aktualizace z konceptů (tj. z rozepsaných a neodeslaných) zpráv služby Gmail.
Jedna z forem tohoto malwaru využívá skript v Pythonu k přijímání příkazů a dalšího kódu ze složky konceptů, která zůstává skrytá, přestože je otevřená. Služby Gmail a Yahoo Mail šifrují přenosy a malware je schopný je využívat, aby ho systémy IDS a DLP nedokázaly odhalit.
Pokud organizace nedešifruje a nekontroluje přenosy na webmailové servery, zvyšuje se tím riziko infekce tímto typem malwaru.
Možná řešení
Šifrování dnes tvoří přibližně jednu třetinu veškerého internetového provozu a očekává se, že v příštím roce dosáhne tento poměr dvou třetin veškerých přenosů, až internetoví giganti jako Netflix přejdou na SSL.
V důsledku toho se stane šifrovaný provoz dálnicí pro distribuci malwaru a pro jednoduché provádění kybernetických útoků. Aby mohly organizace zjistit záškodnické aktivity, potřebují dešifrovat a kontrolovat přenosy SSL. V opačném případě tudy bude malware moci pronikat.
Pro vyřešení tohoto problému a získání vhledu do SSL je vhodné nasadit platformy pro kontrolu provozu SSL, které budou dešifrovat přenosy SSL a posílat je k analýze zabezpečovacím zařízením dalších dodavatelů.
Pro odchozí přenosy organizace vlastní koncové body, ale ne certifikáty a klíče SSL. Platforma pro kontrolu SSL může takové přenosy dešifrovat, když bude nakonfigurovaná jako proxy pro transparentní přeposílání nebo jako explicitní proxy.
Dešifrování příchozího provozu směrovaného na interní aplikační servery je jiné než dešifrování odchozích přenosů, protože organizace je zároveň vlastníkem SSL klíčů.
Existují dva hlavní způsoby, jak dešifrovat příchozí přenosy SSL směřující na interní servery:
- Režim reverzní proxy: SSL provoz se ukončí v zařízeních kontrolujících SSL a dále už se zasílá v nešifrované podobě k inline nebo non-inline zabezpečovacím zařízením. Tento režim se někdy také označuje jako „SSL Off-load.“
- Pasivní non-inline nebo inline režim: SSL provoz se dešifruje pomocí kopie klíčů SSL serveru. SSL provoz není platformou kontroly SSL modifikovaný, samozřejmě kromě případů potenciální blokace útoků.
V pasivním režimu non-inline může být platforma kontroly SSL nainstalovaná transparentně bez nutnosti aktualizovat nastavení sítě. Organizace však nebude schopná efektivně blokovat všechny útoky včetně jednopaketových útoků.
Největší slabinou však je, že pasivní režim nedokáže podporovat silné šifrovací metody, jako je například PFS (Perfect Forward Secrecy), protože se platforma kontroly SSL aktivně neúčastní dojednávání klíče SSL.
Ať už jde o sdílení škodlivého souboru přes web sociálních sítí, nebo malwarovou přílohu e-mailu či v rychlých zprávách, bude mnoho útoků zahalených právě pomocí SSL. Nastal čas, kdy by organizace měly významně investovat do ochrany dat a při tom nezapomínat na dešifrování a kontrolu veškerých SSL přenosů.
Tento příspěvek vyšel v Security Worldu 1/2016. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU