themes theme

Artiklid alates ‘Brauser’ rubriigist

SSL turvaauk – kuidas töötab

10. november 2009

4. novembril aadressil http://extendedsubset.com/ publitseeritud info SSL protokolli nõrkuse (“SSL Authentication Gap”) kohta on leidnud elavat vastukaja, Internet kubiseb blogijate postitustest ning on olemas ka kodumaine näide.

Ette rutates võib öelda, et soovitus ID-kaardid sahtlisse panna on enneaegne. Kliendituvastusega (client authentication) SSL/TLS protokolli kasutamine on ja jääb alati turvalisemaks kui ilma selleta. Paneme tähele, et kõik teised autentimisvahendid (paroolikaart, PIN-kalkulaator, Mobiil-ID) ei kasuta kliendituvastusega SSL protokolli ning on seetõttu olulisel määral rohkem altid vahemehe (Man-in-The-Middle) rünnakutele, kus ohver juhatatakse võltslehele ning vahendatakse sobivalt tema suhtlust „pärislehega“.

Milles siis jutu all olev nõrkus seisneb?  Olukorra lihtsustamiseks vaatleme näidet, kus SSL veebiserver on konfigureeritud aktsepteerima ID-kaarti, kuid see ei ole „kohustuslik“, s.t. eksisteerib serveri alamosa, mida saab kasutada siis, kui ID-kaardiga ei ole autenditud või autentimine ebaõnnestus. Nii on meil konfigureeritud enamus veebiservereid, kuna kasutajasõbralikkuse huvides on ID-kaardiga autentimise ebaõnnestumise korral ilus näidata browser error’i asemel mingit ilusamini kujundatud pilti.

Nende kahe SSL oleku (on klient autenditud või ei) vahetamist nimetatakse SSL renegotiation’iks ehk siis maakeeli „ümberleppimiseks“. Häda on nüüd selles, et enamus SSL realisatsioone ei pea järge selle üle, kas ümberleppimise-eelne sessioon oli sama mis ümberleppimis-järgne.

Kujutame nüüd ette olukorda, kus ohver alustab serveriga sessiooni nii, et kliendituvastust veel ei nõuta. Kommunikatsioonikanalil asuv ründaja aga varastab selle sessiooni ning asub suhtlema ohvri eest. Peale SSL ühenduse saavutamist teeb ründaja päringu, mille täitmiseks server nõuab kliendituvastust. Hakkab toimuma ümberleppimine, ründaja annab nüüd „otsad ära“, vahendades pakette edasi-tagasi, ja laseb ohvril sooritada kliendi autentimise. Peale edukat autentimist on aga serveril kohustus täita esitatud päring (mida ründaja tegi). Päringu tulemused kuvatakse muidugi ohvrile, ründaja neid enam ei näe.

Tüüpiliselt kasutatud näide on see, kui ohver on näljane ning teeb päringu:

GET /pizza?täidis=kana?aadress=Kana8 HTTP/1.1
Cookie: minuküpsis

Singilembeline ründaja aga topib selle päringu ette paar rida (ilma reavahetuseta lõpus) ja tulemus on:

GET /pizza?täidis=sink;aadress=Kurja3 HTTP/1.1
X-Ignore-This: GET /pizza?täidis=kana?aadress=Kana8 HTTP/1.1
Cookie: minuküpsis

Tulemuseks saab ohver jahmatava kinnitusteate väärastunud soovi kohta, kurjam aga võib palvetada (kuna ta serveri vastust ei näe), et kunagi tasuta pizza tuleb. Rohkem ründaja selles seansis osaleda ei saa.

Paneme tähele, et sellise ründe edukus sõltub mitmest asjaolust:

  • Ründaja peab asuma ohvri ja serveri-vahelise kommuikatsioonikanali vahel, s.t. ründajal peab olema kontroll mõne marsruuteri või tulemüüri üle ning olema võimeline manipuleerima seal infovooge. Lihtsalt ohvriga samas kohtvõrgus viibides võiks see ka teoreetiliselt võimalik olla kuid praktikas on rünne kohtvõrgust väga väikese õnnestumise tõenäosusega.
  • Server aktsepteerib GET-päringuid, mille esmakordse töötlemise tulemuseks on kohe reaalne tegevus (s.t. pizza pannakse teele).
  • Server peab olema konfigureeritud nii, et ta suhtleks nii ID-kaardiga autendituna kui ka ilma ning seetõttu SSL ümberleppimine on võimalik.

Kokkuvõtteks võib öelda, et ajalugu on näinud palju hullemaid SSL turvaauke, kummatigi pole maailm veel kokku vajunud ning tundlikud e-teenused eksisteerivad edasi. Eriti paranoilistele e-teenuste pidajatele võiks aga soovitada seda, et ID-kaardi autentimist kasutav e-teenus asuks eraldi IP-aadressil ning kliendituvastus oleks konfigureeritud kohustuslikuks. Võib-olla kaalub 100% turvalisus (antud puuduse mõttes) üles kasutaja frustratsiooni, kes autentimise ebaõnnestumise korral browser error’i saab.

Ohud veebilehitsemisel

11. september 2009

Vaevu oli Anto Veldre jõudnud avaldada oma artikli veebilehitsemise ohtudest, kui see Delfi poolt üles korjati ja avaldati ka seal. Otse loomulikult olid kohal ka targad, kes väitsid, et tegemist on järjekordse hirmutamiskampaaniaga.

Kuidas aga lood tegelikult on?

Vaatleme kõige lihtsamat arvuti taga tehtavat tegevust – veebilehitsemist. » Loe edasi: Ohud veebilehitsemisel

Küberkurjamite lemmiklehitsejad

30. august 2009

1.kass-tulirebane firefoxcatKolme kuu vältel uuris Purewire teadur Paul Royal küberkurjategijate harjumusi veebilehitsejate kasutamise osas ja jõudis järeldusele, et häkkerite lemmikbrauseriteks on Mozilla Firefox ja   Opera.

Vastavalt  uuringutele kasutavad neist Firefoxi 46% ja üllataval kombel Operat 26%, ehkki viimasel on kõigest kaheprotsendiline turuosa.  Trend Micro turvaspetsialist Rik Ferguson möönab irooniliselt, et häkkerid kasutavad väiksema turuosaga brausereid sellepärast, et mitte ise nakatuda viirustesse. » Loe edasi: Küberkurjamite lemmiklehitsejad

Internet Explorer 8 turvauuendused

18. august 2009

Aasta alguses tuli välja uus Internet Explorer versiooninumbriga 8. Uut versiooni välja andes märkis Microsoft siiski juurde, et töö Internet Explorer 8 kallal ei ole veel lõppenud. Nüüd on lõppenud arendustööd Windows 7 kallal ning sellega on valmis saanud ka Internet Explorer 8 vastav versioon. Seega on õige aeg uurida, mida uut on tehtud Internet Exploreri turvalisuse osas.

» Loe edasi: Internet Explorer 8 turvauuendused

Veebilehitsejate turvalisus

7. august 2009

1.brauseridTänapäeval müüakse üsna palju arvuteid, millesse on tarkvara juba eelnevalt installeeritud. Kasutajatele on see suureks eeliseks, kuna ei pea enam operatsioonisüsteeme ise paigaldama ja võidakse kohe läbi interneti maailma vallutama minna. Ent vähesed hindavad selle juures kõigepealt riske – mis tarkvaraga on tegemist ja kui turvaliseks on see konfigureeritud, et internetist tulevatele rünnakutele vastu seista.

Näiteks Microsofti operatsioonisüsteemidega kaasneb automaatselt veebilehitseja Internet Explorer. Paljud jäävadki seda kasutama, ent teadlikumad tirivad selle kõrvale alternatiivina mõne teise brauseri , näiteks Mozilla Firefoxi , Opera,  Google Chrome’i jne. Ent paraku just siin tehaksegi eksiarvestus, et sellega on ka kogu turvalisus tagatud. Tegelikult aga ei Internet Exploreri ega ka teiste brauserite vaikesätted pole vaikimisi turvaliseks seatud, vaid seda tuleb ise teha. » Loe edasi: Veebilehitsejate turvalisus

AVG LinkScanner

16. juuli 2009

AVG Antiviiruse tasuta versioon on leidnud laialdast kasutamist. Versioonis 8.5 on AVG LinkScanner juba sisse ehitatud. Kes aga antud toodet ei kasuta, võivad kasutada eraldi AVG LinkScannerit.

Enamik pahavarast leiab tänapäeval tee teie arvutisse  mõnelt pahatahtlikult veebisaidilt. AVG LinkScanner on päris tõhus kaitse nende ohtude vastu. Nimelt kontrollib AVG LS internetilehekülge enne selle kasutajale kuvamist. Seda tehakse nii heuristiliselt kui ka “musta nimekirja” põhjal. Seega ei sõltu kaitse tingimata sellest, kas uus internetilehekülg on AVG LS kommuunile teada.

AVG LS töötab operatsioonisüsteemidega Windows 2000, Windows XP ja Vista (32- ja 64 bit), brauseritest on toetatud Mozilla Firefox (alates 2.0) Internet Explorer (alates IE6) ja Opera.
Programm saab läbi ka kõigi suuremate viirustõrjete ja muude turvaprogrammidega (tulemüürid jne).

AVG LinkScanneri saab alla laadida tema kodulehelt http://linkscanner.avg.com/, selle  suurus on natuke üle 15Mb.

Paigaldus on kerge ning arusaadav. Tuleb valida Standard installation ning paigaldus jätkub:

Küll aga tuleks tähelepanu pöörata tööriistaribale, mis vaikimisi peale lastakse:

Kui kasutaja oma arvutisse lisavidinaid ei taha, võib selle linnukese ära korjata, kuid tööriistariba abil on programmi kindlasti mugavam kasutada.
Enne installeerimise lõppu tuleb läbida ka väike seadistamine. Ega seal polegi midagi muud kui Next ja Next klõpsata. Seadistamise käigus uuendatakse ka kahtlaste veebisaitide nimekirja.

Peale installeerimist on programm kohe tööks valmis. Taaskäivitust ei nõuta ning programmi peaaken näeb välja selline:

AVG LS uuendab ennast päris tihti ja automaatselt, kasutaja ei pea selle pärast muret tundma. Programmi mälukasutus on väga väike. Kolme protsessi (4, kui programmi peaaken on avatud) mälukasutus kokku on 3Mb ringis.
Vajadusel saab internetilehekülgi ja nende linke ka käsitsi kontrollida, ilma et peaks nendel surfama. Selleks tuleb menüüst valida Components – AVG LinkScanner

Olemegi valmis 🙂