H National Security Agency (NSA) δημοσίευσε μια προειδοποίηση που εξετάζει τους κινδύνους πίσω από το Transport Layer Security Inspection (TLSI) και παρέχει μέτρα αντιμετώπισης της ελλιπούς ασφάλειας σε οργανισμούς που χρησιμοποιούν προϊόντα TLSI.
Το TLSI (γνωστό και ως TLS break and inspect) είναι η διαδικασία μέσω της οποίας οι επιχειρήσεις μπορούν να επιθεωρήσουν την κρυπτογραφημένη κίνηση με τη βοήθεια ειδικών συστημάτων, όπως μια συσκευή proxy, ένα firewall, συστήματα εντοπισμού ή πρόληψης εισβολής (IDS / IPS), με τη βοήθεια των οποίων μπορούν να αποκρυπτογραφήσουν και να επανακρυπτογραφήσουν το traffic που έχει κρυπτογραφηθεί με TLS.
Ορισμένες επιχειρήσεις χρησιμοποιούν αυτή την τεχνική για την παρακολούθηση δυνητικών απειλών, όπως η υποκλοπή δεδομένων, τα ενεργά κανάλια επικοινωνίας command and control (C2) ή η παράδοση κακόβουλου λογισμικού μέσω κρυπτογραφημένης κίνησης. Ωστόσο, αυτό είναι κάτι που εγκυμονεί κινδύνους καθώς τα προϊόντα TLSI για επιχειρήσεις που δεν επικυρώνουν σωστά τα πιστοποιητικά TLS αποδυναμώνουν την end-to-end προστασία που παρέχεται από την κρυπτογράφηση TLS στους τελικούς χρήστες, αυξάνοντας δραστικά την πιθανότητα να τους στοχεύσουν οι φορείς απειλής μέσω επιθέσεων “man-in-the-middle” (MiTMP).
Περισσότερα μέτρα για την αντιμετώπιση των κινδύνων που απορρέουν από τη χρήση συσκευών TLSI σε ένα εταιρικό δίκτυο παρέχονται από τη NSA ως μέρος της συμβουλευτικής ενημέρωσης ασφάλειας που κυκλοφόρησε με τίτλο Managing risk from Transport Layer Security Inspection.
Τα μέτρα αντιμετώπισης που περιγράφονται στο PDF μπορούν να μειώσουν τους κινδύνους που απορρέουν από τη χρήση του TLSI, να παρέχουν δείκτες που ειδοποιούν τους διαχειριστές εάν έχει παραβιαστεί η υλοποίηση του TLSI και να ελαχιστοποιήσει την ακούσια παρεμπόδιση της νόμιμης δραστηριότητας δικτύου.
Ο Cybersecurity and Infrastructure Security Agency (CISA) εξέδωσε επίσης μια προειδοποίηση σχετικά με τους κινδύνους που σχετίζονται με το HTTPS inspection τον Μάρτιο του 2017, δηλώνοντας ότι γενικά οι οργανισμοί που εξετάζουν τη χρήση HTTPS θα πρέπει προσεκτικά να εξετάσουν τα πλεονεκτήματα και τα μειονεκτήματα αυτών των προϊόντων πριν από την εφαρμογή τους.
Μια λίστα του δυνητικά επηρεασμένου λογισμικού που χρησιμοποιείται για το TLSI που έχει καταρτιστεί από τον αναλυτή της CERT / CC για την ευπάθεια Will Dormann είναι διαθέσιμο εδώ.
