56e70f90cbcc8c092f036d8005351fd9

More documents

Recommendations

Info

К чему ведут ошибки защиты канала Некорректное использование SSL Самый распространенный класс ошибок — это некорректное использование SSL. Чаще всего оно связано со следующими причинами: • Невнимательность разработчика В процессе разработки используется различный тестовый код для ускорения процесса тестирования. И перед выпуском программы про этот код забывают. • Ошибки разработчика Разработчик может использовать различные библиотеки для работы с SSL, каждая имеет свою специфику, и ее нужно учитывать. Так, с переходом с библиотеки на библиотеку разработчик может неправильно выставить константу при инициализации или переопределить функцию на свою. • Отсутствие тестовой инфраструктуры у заказчика Данный пункт частично связан с предыдущим и приводит к тому, что разработчикам приходится идти на ряд ухищрений для проверки корректности работы приложения. Основные ошибки при работе с SSL: Отключение проверок (отладочное API) Некорректное переопределение стандартных обработчиков на собственные Неправильная конфигурация API-вызовов Слабые параметры шифрования Использование уязвимой версии библиотеки Неправильная обработка результатов вызовов Отсутствие проверки на имя хоста или использование неправильных регулярных выражений для проверки • Использование уязвимых фреймворков Часто для упрощения разработчики применяют различные фреймворки. Другими словами, используют чужой код, низкоуровневая часть которого часто скрыта и недоступна. Этот код также содержит уязвимости, о чем разработчик часто даже не догадывается. Особенно это актуально в свете активной кроссплатформенной разработки для мобильных устройств. 14
К чему ведут ошибки защиты канала Компрометация корневого сертификата При использовании SSL существует зависимость от корневых сертификатов. Нельзя исключать возможность их компрометации — вспомним, к примеру, последние инциденты с Bit9, DigiNator и Comodo. Не стоит забывать и о сертификатах других стран, компаний, для которых трафик, можно сказать, является открытым. Как уже было показано, на устройствах находится большое количество сертификатов CA, и при компрометации любого из них компрометируется почти весь SSL-трафик для устройства. Если CA-сертификат скомпрометирован: 1) Пользователь может удалить сертификат из доверенных. В ОС Android пользователь может это сделать как со встроенными сертификатами, так и с пользовательскими. В iOS пользователь может удалить только пользовательские сертификаты. Надеяться на то, что пользователь сам будет управлять корневыми сертификатами, сложно. Так что единственный путь — это ждать обновления ОС. Пользователь в промежуток времени между компрометацией и обновлением системы уязвим. CA-сертификаты бывают разных типов — точнее, могут служить для разных целей (шифрования почты, подписи кода и т. д.), но они, как правило, хранятся в одном безопасном хранилище и могут использоваться для проверки доверия к HTTPSсоединению. К сожалению, корректная проверка назначения сертификата не везде реализована. Таким образом, злоумышленник может получить легитимный сертификат от выпускающего центра для одних целей, а использовать для установки HTTPSсоединения в процессе MitM-атаки. Кроме того, когда пользователь работает в браузере, он может заметить работу с подозрительным сертификатом по красному значку замочка в строке адреса. В такой же ситуации при работе через приложение пользователь никак не будет информирован, если разработчик этого не предусмотрел заранее, что делает атаку скрытной. 2) Разработчик ОС может выпустить обновление. 3) Издатель сертификата может отозвать свой сертификат. Механизм проверки сертификата может динамически проверить это (например, OCSP, “Online Certificate Status Protocol”). Android не поддерживает ни CRL, ни OCSP iOS использует OCSP 15
Page 1 and 2: CONNECTING BANK ///// 23 Android 14
Page 3 and 4: Введение В прошлом
Page 5 and 6: Атака “MitM”: сценар
Page 7 and 8: Атака “MitM” Специф
Page 9 and 10: Как защитить канал
Page 15: К чему ведут ошибки
Page 19 and 20: Дополнительные сре
Page 21 and 22: Дополнительные сре
Page 23 and 24: Методика исследова
Page 25 and 26: Результаты исследо
Page 27 and 28: Результаты исследо
Page 29 and 30: Рекомендации Для р
Page 31 and 32: О компании Digital Securit

56e70f90cbcc8c092f036d8005351fd9

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?