Ένα απλό πείραμα που διεξήχθη από την εταιρεία ασφάλειας Sucuri αποκαλύπτει ότι τέσσερα χρόνια μετά την κυκλοφορία μιας πρωτοποριακής μελέτης σχετικά με την χρήση SSL/ TLS σε non-browser εφαρμογές, κάποιες γλώσσες προγραμματισμού εξακολουθούν να αποτυγχάνουν στην επικύρωση των πιστοποιητικών αυτών.
Oι προγραμματιστές σήμερα βασίζονται σε διάφορα third-party APIs, παρέχοντας επιπλέον λειτουργικότητα σε εφαρμογές και σε ιστοσελίδες. Για παράδειγμα χρησιμοποιούν APIs που επιτρέπουν την πραγματοποίηση συναλλαγών ή την χρήση εφαρμογών live chat στα site τους, ενώ για την υλοποίηση ασφαλών συνδέσεων με τους servers των εκάστοτε APIs, χρησιμοποιούν τα πρωτόκολλα HTTPS και TLS.
Όταν υλοποιείται σωστά, το πρωτόκολλο TLS παρέχει κρυπτογράφηση και αυθεντικοποίηση. Μια εφαρμογή που δεν επικυρώνει σωστά το πιστοποιητικό TLS, μπορεί να επιτρέψει σε επιτιθέμενους να υποκλέψουν τους κωδικούς πρόβασης ή τα στοιχεία των καρτών πληρωμών των χρηστών, και γενικότερα οποιαδήποτε πληροφορία αποστέλλεται μεταξύ των δύο servers.
Πίσω στο 2012, μια ομάδα επιστημόνων με επικεφαλή τον καθηγητή του Πανεπιστημίου του Τέξας, Martin Georgiev, αποκάλυψε ότι διάφορα API clients γραμμένα σε PHP, Python ή Java αποτύγχαναν να ελέγξουν επαρκώς τα πιστοποιητικά, κυρίως επειδή οι αναφερόμενες γλώσσες δεν περιελάμβαναν τα κατάλληλα εργαλεία για να το πράξουν.
Η ερευνητική εργασία απέδειξε ότι μπορούν να πραγματοποιηθούν με ευκολία απλές επιθέσεις MITM έναντι των υποδομών των API, oδηγώντας σε επιτυχή αναχαίτιση του HTTPS traffic.
[su_button url=”https://www.secnews.gr/100078/%ce%bd%ce%ad%ce%b1-sloth-%ce%b5%cf%80%ce%af%ce%b8%ce%b5%cf%83%ce%b7-%ce%bc%ce%b5%ce%b9%cf%8e%ce%bd%ce%b5%ce%b9-%cf%84%ce%b7%ce%bd-%ce%b1%cf%83%cf%86%ce%ac%ce%bb%ce%b5%ce%b9%ce%b1-%cf%84%cf%89%ce%bd-tl/” target=”blank” style=”glass6″ wide=”yes” center=”yes”]]Διαβάστε ακόμη: Νέα SLOTH επίθεση μειώνει την ασφάλεια των TLS και SSH πρωτοκόλλων[/su_button]
Επανεξετάζοντας αυτή την έρευνα, τέσσερα χρόνια αργότερα, ειδικοί σε θέματα ασφάλειας της εταιρείας Sucuri δημιούργησαν μια σειρά από σενάρια δοκιμών, σε PHP, Python, και Go, τα οποία συνδέονται με μια λίστα γνωστών ευάλωτων HTTPS servers, και κατέγραψαν τα αποτελέσματά τους προκειμένου να διαπιστώσουν πιθανά προβλήματα.
Τα αποτελέσματα, που απεικονίζονται παρακάτω, δείχνουν ότι ακόμα και οι νεότερες εκδόσεις των γλωσσών αυτών προγραμματισμού έχουν προβλήματα στο να προσδιορίσουν την κατάσταση ενός πιστοποιητικού SSL/TLS αλλά στο να τερματίσουν τις συνδέσεις, αν αυτές κριθούν ανασφαλείς.
“Οι PHP, Python, και Google Go δεν εκτελούν ελέγχους ανάκλησης (revocations checks) από προεπιλογή. Εάν το πιστοποιητικό παραβιάστηκε και έχει ανακληθεί από τον ιδιοκτήτη, ποτέ δεν θα το μάθετε», αναφέρει ο Peter Kankowski της Sukuri.
