synapser

synapser

Vad kan du förvänta dig av SSL/TLS?

ArtiklarPosted by cpunk Fri, June 02, 2017 09:43:24
Du kanske sällan noterar detta med transaktioner som görs med din personliga information på websidor idag använder 80% av fallen SSL/TLS autentisering (Secure sockets Layer/Transport Layer Security).

Som många av oss IT-Tekniker vet, så är SSL den mest använda "Secure Access" över web. SSL metoden är 128-bitar kryptering som var uppfunnen av teamet bakom Netscape och är idag den mest välanvända anslutningen mellan två enheter. SSL är egentligen TLS idag eftersom SSL hade en del säkerhetshål som nu är åtgärdade i och med TLS protokollet. TLS - Transport Layer Security är huvudsakligen det man menar när man nämner SSL idag. Lättast att uppmärksamma detta är när man ser HTTPS istället för HTTP i adressfältet i din browser. Men det är inte en garanti för att det faktiskt är en beviljad SSL autentisering om du inte loggat in och erhållit ett certifikat.

Dom flesta SSL "överföringarna" som sker med "känslig data" så som personlig information eller elektroniska affärssystem är på just "E-Business". T ex Casino verksamhet online.

Exempel på detta:
* 10bet.com använder standard 128-bitars SSL krypterad anslutning för deras kunder att använda kredit överföringar för att spela casino spel. Emellan dessa system har 10bet casino mjukvaru-brandväggar av olika slag för att säkerställa den interna överföringen om skadlig kod läcker igenom dom första lagren.

* Fikacasino.com använder också standard 128-bitars SSL krypterad anslutning för deras kunder att använda kredit överföringar för att spela casino spel. Fikacasiono har däremot lagt en del av sin säkerhetsaspekt kring "cookies" som vanligen används för att "tracka/spåra" användaraktivitet på deras sidor. Genom att använda cookies på Fikacasinos sidor så identifierar dom istället användaren dom har registrerad hos sig för att se att transaktionerna som genomförs är äkta, dvs att det är en "mänsklig" användare bakom profilen som "handlar". Detta är också ett sätt för dom att på rätt sätt betala sina samarbetspartners med Fikacasino där användningen faktiskt genomförs.

Hur som så är SSL/TLS inte en garanterad säkerhet för användarna som använder trådlös nät i publika områden. Jag refererar såklart till "The Man in the Middle Attack". Attackeraren i detta fall lägger om och ibland även ändrar transaktionen av data mellan två aktörer som i sin tur tror att det är just bara 2 som kommunicerar med varandra. Det är lite som att rida på någons rygg men personen som erbjuder att bära känner inte att någon hänger med, dvs deras internet anslutning. Det är ganska lätt genomfört, så länge attackeraren befinner sig i samma räckvidd som användaren av samma trådlösa nätverk så kan attackeraren placera sig som "mannen i mitten". Allt som krävs är att stationen går att ta över, likt vad en Administratör gör när dom ska uppdatera eller konfigurera sin Wifi-station. Detta är väl-använt på flygplatser, tåg-centraler och andra publika områden där många vistas för att använda den publika internet-anslutningen, bara Caféer är en bra källa.

Om vi återgår till den "publika nyckel infrastrukturen" som SSL/TLS så kan denna attack försvåra "Transmission Control Protocol" mot en "Man-in-the-middle-attack". Sådana strukturer bygger på klient och server överföringar som byter certifikat mellan varandra och godkänns av en pålitlig tredjepart som skapat certifikatet (CA). Om inte skaparen själv av certifikaten blivit utsatt av en MITM attack så är certifikatet delegerat av CA och används för att autentisera kommunikationen mellan parterna. Samma sätt kan man använda för att delegera certifikat från båda hållen för att öka säkerhetsaspekten kring kommunikationen, på så sätt minskar man ännu mer för en MITM attack. Dock är det förstnämnda det mest använda och det är också så dom flesta sidor är konfigurerade som du använder idag.

Så hur ligger det då till med Internetbank? Jo samma regler gäller även där med deras huvudsakliga algoritm för att säkerställa privata överföringar är såklart "bankdosan". Majoriteten av oss har denna lilla elektroniska decipher dosa som genererar koder till och översätter från Online Banken du ansluter mot. Detta är dock ännu svårare för en MITM attack, då personen/attackeraren i frågan bara ser transaktionerna som genomförs men inte vilka koder du knappar in i din bankdosa. Det enda troliga som skulle kunna hända är om attackeraren lyckas ändra din transaktion destination i sista sekund som du genomför den genom att byta ut vart pengarna ska ta vägen istället, vilket kräver en oerhörd timing att utföra. Vi känner också alla till att våra tidigare inmatade "vänner lista" med bank-konton och PG/BG registreringar också finns lagrade på vår internetbank sen tidigare. Även dom måste autentiseras med bankdosan för att det ska vara godkända destinationer för transaktionerna. Så ni ser, problematiken ökar för en attackerare när ytterligare en säkerhetsaspekt i form av en decipher dosa implementeras i överföringen.

Dock får ju detta en tanke att blomma upp, iaf hos mig och säkert ni andra; Swish och Paypal som är så vida använt och inte använder "Internet-bank" principen. Hur svårt kan ni tänka er att en MITM attack kan ske där?

- "En bra hacker, är en tyst hacker. Man avslöjar bara säkerhetshål när dom hittas av andra" - Peter Karlsson

Så vad är sensmoralen bakom den här artikeln? Undvik Wifi! Wifi kan du använda för att slösurfa; läsa nyheter, kolla film, spela spel eller bara kommunicera med andra användare. Men så fort du genomför en login som inte är säkrare än SSL så blottar du dig mot det trådlösa nätverket och tro mig, det finns folk som gärna tittar på.

Vill du lära dig mer om hur det ser ut på det trådlösa nätverket? Lär dig "Wireshark":
https://www.wireshark.org/
https://sv.wikipedia.org/wiki/Wireshark

För mer information om säkerhetsrutiner idag kontra igår så kan ni se min undervisning av Handels studenter på Handelshögskolan i Göteborg där ni får en inblick i hur sköra våra "säkra" system är:
URL: https://www.youtube.com/watch?v=ExzGV6YQMYA

Den här artikeln är ett samarbete med CasinoGratis.











  • Comments(0)

Fill in only if you are not real





The following XHTML tags are allowed: <b>, <br/>, <em>, <i>, <strong>, <u>. CSS styles and Javascript are not permitted.