90 prosenttia https-sivuista reikäisiä
1
Vain 10 prosenttia https-verkkosivuista pitää pintansa vakavimpia ssl-hyökkäysmenetelmiä vastaan. 75 prosenttia sivuista on alttiina esimerkiksi niin sanotulle beast-hyökkäykselle, jolla hakkeri voi avata suojaukset.
Melkein kaikki maailman https:ää käyttävistä nettisivustoista on turvattomia. Tuore raportti kertoo, että yhdeksän kymmenestä suojatusta sivusta on vaarassa. Ne ovat alttiita hyökkäysmenetelmille, joilla voi huomaamattomasti purkaa auki salatun liikenteen ja varastaa salasanoja tai viedä rahaa.
Raporttia varten on käyty läpi 200 000 maailman suosituinta https-sivustoa. Niistä hurjat 90 prosenttia osoittautui haavoittuviksi tunnetuille ssl-hyökkäysmenetelmille. Hakkerit voivat purkaa salaukset tai peukaloida salattua verkkoliikennettä.
Raportin julkaisi internetin turvallisuus-, yksityisyys- ja luotettavuusongelmien ratkomiseen omistautunut Trustworthy Internet Movement -järjestö (TIM). Data koottiin järjestön SSL Pulse -projektissa, joka käyttää automatisoitua skannausteknologiaa nettisivujen https-toteutuksien vahvuuden arvioimiseksi.
Työkalu tarkistaa, mitä protokollia https-sivut käyttävät ja miten vahvoja suojausavaimet ovat. Tulosten perusteella sivut saavat turvaluokituksen, jossa A on paras ja F heikoin.
Puolet sivuista parasta A-luokkaa, mutta…
Puolet https-sivuista pääsi parhaaseen A-luokkaan. Se tarkoittaa, että ne käyttävät modernien protokollien sekä pitkien ja hyvin salattujen avaimien yhdistelmää.
Silti vain yksi https-sivu kymmenestä on täysin turvallinen. Täyden turvan saadakseen sivun pitää kestää niin sanottu beast-hyökkäys ja torjua yritys ssl-yhteyksien uudelleenneuvotteluun.
Https-sivuista 13 prosenttia taipuu ssl-yhteyden uudelleenneuvotteluun, minkä avulla voi ryövätä salasanoja tai rahaa.
Kolmella sivulla neljästä suojauksesta pääsee läpi beast-hyökkäyksellä, jossa voidaan avata salaukset autentikointiavaimista ja https-pyyntöjen evästeistä. Uudemmat selaimet sisältävät suojauksia beast-hyökkäyksiä vastaan. Monet kuitenkin käyttävät erityisesti työpaikoilla vanhempia ja hyökkäyksille alttiita selaimia, kuten Internet Explorer 6:ta, PC World huomauttaa raporttia koskevassa artikkelissa.
Lisäksi 13 prosenttia https-sivuista mahdollistaa ssl-yhteyksien uudelleenneuvottelemisen, vaikka haavoittuvuus olisi helppo korjata pikkupäivityksellä. Se voi johtaa mies-välissä-hyökkäykseen, mikä esimerkiksi rahalaitoksen verkkosivuilla voi viedä kävijän rahat rosvojen taskuun. Nettipalveluista hakkerit voivat samalla menetelmällä kähveltää käyttäjätunnuksia ja salasanoja.
Päivitykset ovat jääneet tekemättä
Syynä on pitkälti se, että sivustojen ylläpitäjät eivät ole tehneet tarvittavia päivityksiä. Korjaus yhteen tunnetuista ssl-haavoittuvuuksista on uudemmassa tsl 1.1 -prokollassa, mutta monet palvelimet käyttävät vielä vanhempaa protokollaa, kuten ssl 3.0:aa. Päivittämistä harmi kyllä jarruttavat taaksepäin yhteensopivuuden ongelmat.
Päivittämättömät palvelimet ovat alttiita niin sanoituille ssl-downgrade -hyökkäyksille, joissa niitä huijataan käyttämään ssl/tsl:n haavoittuvia versioita. Helpoin suojausmenetelmä on asettaa palvelimella RC4-salausalgoritmi etusijalle https-yhteyksissä.
