Chương 3: Các phương thức tấn công và cách phòng chống trong SSL
3.1.1 Tấn công Man in the Middle.(MITM) – Tấn công giả mạo SSL
Đây là một trong những tấn công MITM nguy hiểm nhất vì nó cho phép khai thác các dịch vụ mà người dùng tưởng rằng là an toàn.
Trong phần này, nhóm tôi sẽ tập trung giới thiệu vào tấn công SSL trên HTTP, vì HTTP là trường hợp sử dụng phổ biến nhất của SSL. Có thể chúng ta không nhận ra HTTPS nhưng hầu như chắc chắn chúng ta đang sử dụng HTTPS hàng ngày. Điển hình các dịch vụ Email là phổ biến nhất và các ứng dụng ngân hàng trực tuyến đều dựa vào HTTPS để bảo đảm truyền thông giữa trình duyệt web của bạn và các máy chủ của họ được mã hóa an toàn.
Hình 13: Giao thức HTTPS thường dùng.
Nếu không sử dụng SSL cho HTTP thì bất cứ ai với một bộ “đánh hơi” gói dữ liệu trên mạng cũng đều có thể phát hiện ra được username, password và bất cứ thứ gì được ẩn khác.
Hình 14: Qúa trình Connect từ Web Browser đến Web Server.
• Web Browse sẽ kết nối đến Web Server trên cổng 80 bằng cách sử dụng HTTP.
• Web Server sẽ chuyển hướng yêu cầu của Web Browser từ HTTP sang HTTPS.
• Web Browser kết nối đến Web Server bằng cổng 443.
• Web Server sẽ cung cấp một chứng chỉ (Certificate) cho Web Browser gồm chữ ký số của nó. Web Browser sử dụng chứng chỉ này và thẩm định chứng chỉ này với danh sách các nhà thẩm định chứng chỉ tin cậy của nó.
• Quá trình truyền thông sẽ xảy ra sau đó khi mà quá trình chứng thực giữa client và server thành công.
Moxie Marlinspike, một chuyên gia nghiên cứu bảo mật hàng đầu đã cho rằng trong hầu hết các trường hợp SSL chưa bao giờ bị trực tiếp tấn công. Hầu hết thời gian một kết nối SSL được khởi tạo thông qua HTTPS. Nếu mà có bị tấn công thì nguyên nhân có thể là do ai đó đã redirect một HTTPS thông qua một mã đáp trả HTTP 302 (Redirect 302, chuyển hướng tạm thời.).
Ý tưởng để tấn công một phiên giao dịch sử dụng SSL là bạn sẽ cố gắng làm sao giả mạo thông tin trao đổi giữa Server và Client.
Hình 15: Tấn công giả mạo Certificate
• Khi Web Browser kết nối đến Web Server bằng HTTPS với port 443. Thì Attacker sẽ can thiệp vào và chặn lưu lượng giữa Web Browser và Web Server.
• Khi mà Web Server cung cấp một Certificate cho Web Browser để chứng thực thì Attacker đã bắt Certificate này và dùng SSLStrip để giả mạo một Certificate khác. rồi cung cấp chứng chỉ giả mạo này cho máy Web Browser.
• Qúa trình truyền thông giữa Web Browser và Web Server diễn ra sau đó. Web Browser và Web Server vẫn tin tưởng mình đang truyền thông với nhau mà không biết rằng Attracker đang nghe lén và giả mạo thông tin của phiên làm việc này. Hình thức tấn công MITM này là một trong những hình thức chết chóc nhất vì nó làm cho chúng ta nghĩ đang ở một kết nối an toàn nhưng sự thật lại không phải vậy. Nếu bạn xem xét số lượng các site an toàn mà mình viếng thăm mỗi ngày, sau đó xem xét sự ảnh hưởng tiềm tàng nếu tất cả trong số các kết nối đó không an toàn và dữ liệu bị rơi vào những kẻ xấu thì bạn sẽ hiểu một cách đúng đắn mức độ nguy hiểm có thể xảy ra với bạn hoặc tổ chức bạn.