O que é um Ataque de SSL?

O Secure Sockets Layer/Transport Layer Security (SSL/TLS) é um protocolo projetado para aumentar a segurança do tráfego de rede. Um protocolo que usa SSL, como HTTPS, inclui criptografia de dados e proteções de integridade, além de autenticar a identidade do servidor. Por padrão, a maior parte da navegação moderna na Web é realizada usando HTTPS protegido por SSL. Um ataque de remoção de SSL é projetado para forçar o navegador de um usuário a se conectar a uma versão desprotegida do site sem criptografia SSL.

Saiba mais Solicite o eBook sobre DDoS

O que é um Ataque de SSL?

Como funciona?

Um ataque de remoção de SSL é realizado por meio de um ataque man-in-the-middle (MitM). Ao se inserir no meio da conexão entre um cliente e um servidor da Web, um invasor pode controlar os dados que chegam ao usuário. Uma vez lá, o usuário pode filtrar os pacotes enviados entre o cliente e o servidor.

Uma conexão SSL/TLS é construída sobre uma conexão TCP padrão, não criptografada. Depois que uma conexão TCP é estabelecida, o cliente pode iniciar a sessão SSL/TLS ou passar diretamente para a solicitação de conteúdo da Web por meio de HTTP não criptografado.

Em um ataque de remoção de SSL, o invasor intercepta todo o tráfego entre o cliente e o servidor e "remove" qualquer conteúdo SSL das solicitações do cliente antes de passá-las para o servidor. Como resultado, o servidor fornecerá a versão HTTP não criptografada da página, que o invasor envia para o cliente.

Caso o servidor forneça apenas uma página da Web HTTPS, o invasor poderá criar duas conexões separadas. Eles manteriam uma conexão HTTP com o cliente, fornecendo o conteúdo que ele solicitou. Eles poderiam acessar esse conteúdo criando sua própria conexão HTTPS com o servidor e acessando as mesmas páginas que o usuário solicita.

Tipos de ataques de remoção de SSL

Em um ataque de remoção de SSL, o principal desafio para o invasor é realizar o ataque man-in-the-middle necessário para interceptar o tráfego entre o cliente e o servidor. Há algumas maneiras de um invasor conseguir isso, incluindo:

  • ARP Spoofing: Se um invasor estiver na mesma rede local (LAN) que o alvo, ele poderá executar um ataque de falsificação de ARP que mapeia o endereço IP do alvo para o endereço MAC do invasor. Isso faz com que todos os dados destinados ao alvo sejam enviados para o computador do invasor.
  • Servidores proxy: Um computador pode ser configurado para usar um servidor proxy, o que fará com que todo o tráfego seja enviado para um determinado local no caminho para o destino. Se um invasor puder configurar o computador de um alvo para usar o servidor do invasor como proxy, ele poderá interceptar todo o tráfego de navegação do usuário.
  • Wi-Fi público malicioso: Um invasor pode configurar uma rede Wi-Fi pública que imita uma rede confiável. Se os usuários se conectarem à rede, o invasor terá acesso a todo o tráfego sem fio que passa pelo roteador mal-intencionado.

Riscos comerciais dos ataques de SSL Stripping

Os ataques de remoção de SSL eliminam a proteção fornecida ao tráfego da Web pelo SSL/TLS. Isso pode ser usado em vários ataques que têm impactos negativos sobre os negócios, inclusive:

  • Roubo de credenciais: Os ataques de remoção de SSL podem ser usados para induzir os usuários a inserir suas credenciais em sites não criptografados, permitindo que um invasor as roube.
  • Exposição de dados confidenciais: a remoção de SSL permite que um invasor leia todos os dados que fluem entre o cliente e o servidor, o que pode expor dados confidenciais.
  • site de phishing: um invasor pode apresentar uma versão maliciosa de um site que contém malware ou outro conteúdo de phishing.
  • Conteúdo malicioso: Um invasor pode injetar conteúdo malicioso nas páginas da Web fornecidas ao usuário, possivelmente fornecendo malware ou executando outras ações maliciosas.

Como evitar ataques de SSL Stripping

Os ataques de remoção de SSL dependem da capacidade do invasor de realizar um ataque MitM e mover um usuário para uma conexão HTTP não criptografada sem que ele perceba. Algumas maneiras de se proteger contra ataques de remoção de SSL incluem:

  • Exigir HSTS: O HTTP Strict Transport Security (HSTS) exige que um navegador abra somente páginas da Web usando HTTPS, evitando ataques de remoção de SSL.
  • Ativar cookies seguros: Os cookies são usados para identificar os usuários, e o cookies seguro só pode ser acessado por sites que usam HTTPS. A ativação de cookies seguros garante que os dados dos cookies só possam ser enviados por meio de conexões HTTPS.
  • Educação do usuário: Treine os funcionários para identificar sites inseguros que não estejam usando uma conexão HTTPS.
  • Use uma VPN: Use uma VPN ou solução semelhante para fornecer uma conexão segura e criptografada para usuários remotos, impedindo que os invasores realizem um ataque MitM.

Proteção contra ataques de SSL Stripping

Os ataques de remoção de SSL fornecem ao criminoso cibernético a capacidade de realizar um ataque MitM, que pode ser usado para espionagem ou outros fins maliciosos. A educação do usuário e o uso de uma VPN em redes não confiáveis podem ajudar a proteger contra esses ataques.

Os ataques de remoção de SSL não são a única ameaça que uma empresa e seus usuários podem enfrentar. Para saber mais sobre o cenário atual de ameaças cibernéticas e as ameaças mais significativas a serem observadas, confira o Relatório de Cibersegurança 2023 da Check Point.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso avisocookies .
OK