Os proprietários de sites modernos abandonaram a conexão HTTP, optando por SSL (Secure Sockets Layer) e, posteriormente, TLS (Transport Layer Security). O ataque de remoção de SSL degrada esses protocolos e coloca os hackers no meio das conexões dos usuários.
Assim, se o criminoso estiver no meio, ele poderá ver quais dados você envia, desde credenciais de login até informações de cartão de crédito.
Definição do ataque de remoção de SSL
Um ataque de remoção de SSL remove os protocolos de criptografia que normalmente codificam os dados que os usuários enviam aos sites. Se o HTTPS funcionar corretamente, os criminosos não poderão ler as informações trocadas entre clientes e servidores.
Por exemplo, se você fornecer suas credenciais para uma página HTTPS, os hackers não poderão obtê-las, mesmo que interceptem a interação. A remoção de SSL encontra uma brecha ao limpar todos os rastros de segurança HTTPS.
Os perpetradores podem realizar ataques man-in-the-middle , tirar a segurança de sites, se passar por servidores Web legítimos e capturar informações não criptografadas.
O ataque de remoção de SSL apareceu pela primeira vez no centro das atenções em 2009, demonstrado por Moxie Marlinspike.
Como funciona o ataque de remoção de SSL?
Um ataque de remoção de SSL é uma tentativa implacável de comprometer a segurança dos sites e roubar os dados de seus clientes. Assim, ele transforma um HTTPS seguro em uma conexão HTTP de texto simples.
Os usuários podem não perceber esse downgrade, navegando sem segurança como de costume e permitindo involuntariamente que hackers capturem todos os dados. Visitantes da web mais atentos podem perceber a mudança para o protocolo HTTP.
No entanto, os usuários podem presumir que um site não usa HTTPS voluntariamente. Por exemplo, os webmasters podem usar TLS ou SSL em páginas de login, mas regridem para conexões não seguras para outras pessoas.
Do ponto de vista técnico, um ataque de remoção de SSL funciona através destas etapas:
Um invasor intercepta a conexão entre um servidor (site) e um cliente (visitante do site).
O cliente deseja acessar sua conta hospedada no servidor e envia uma solicitação HTTPS para ele.
O invasor fica no meio dessa interação e modifica a solicitação do cliente. Mais especificamente, ele troca o certificado de segurança deles pelo deles.
O invasor altera a resposta do servidor e a retira da segurança HTTPS, substituindo-a por HTTP.
O cliente fornece credenciais, mas não sabe que essas informações não são criptografadas. O invasor lê as senhas e nomes de usuário em texto simples.
Como os hackers têm a chance de executar ataques de remoção de SSL?
Os ataques de remoção de SSL podem capturar informações dos usuários, enganando-os para revelá-las sem a proteção de protocolos de segurança. No entanto, o HTTP inseguro também pode facilitar as respostas modificadas do servidor. Assim, a resposta pode conter links perigosos , detalhes de pagamento falsos ou outro conteúdo questionável.
No entanto, os hackers devem executar ataques contra as vítimas antes da remoção do SSL. Um local de ataque foi o Tor ; um navegador focado em privacidade e anonimato. Os perpetradores adicionaram servidores não seguros à rede Tor que facilitaram os ataques de remoção de SSL. Os pesquisadores também identificaram os clientes-alvo: pessoas que usam o Tor para acessar sites relacionados a criptomoedas.
Assim, as seguintes táticas podem preceder a remoção de SSL:
Falsificação de ARP . Os invasores podem se conectar aos endereços IP das vítimas por meio de solicitações de protocolo de resolução de endereço falsificado (ARP). Então, eles podem ver todo o tráfego chegando ao endereço.
Servidores proxy . Um servidor proxy roteia todo o tráfego para servidores externos. Os invasores podem construir servidores não confiáveis com configurações que facilitam o acesso não autorizado aos dados trocados.
Pontos de acesso Wi-Fi falsos. Os criminosos podem usar pontos de acesso Wi-Fi gratuitos para fazer com que os usuários se conectem. Em alguns casos, eles podem definir gêmeos malvados imitando SSIDs de redes gerenciadas por restaurantes ou instalações. Os hackers que controlam o hotspot falso podem ver e controlar o tráfego dos usuários conectados e executar ataques de remoção de SSL.
Quais riscos os usuários enfrentam com ataques de remoção de SSL?
Um ataque de remoção de SSL bem-sucedido pode conceder aos hackers acesso ao tráfego anteriormente criptografado. Esses dados incluem detalhes de login, dados bancários, endereços físicos, endereços de e-mail e detalhes corporativos.
Portanto, as consequências da remoção de SSL podem incluir as seguintes perdas de usuário:
Perda de login e dados pessoais . Os ataques de remoção de SSL podem comprometer as páginas de login, permitindo que hackers capturem senhas e outras informações relacionadas à conta. As conexões não seguras podem expor outros tipos de dados, de números de telefone a detalhes de contas bancárias.
Explorando informações roubadas . Os invasores podem abusar de informações roubadas para cometer fraudes de identidade, roubar dinheiro ou obter acesso a outras contas.
Enviando respostas modificadas do servidor . A remoção de SSL pode coagir os usuários a realizar ações indesejadas. É porque eles podem apresentar informações enganosas por meio de respostas alteradas do servidor.
Como detectar um ataque de remoção de SSL?
Os ataques de remoção de SSL têm um elo fraco: usuários alertas podem notar que a conexão HTTPS mudou repentinamente para HTTP. Você pode detectar isso através da alteração na barra de endereço. Em vez de um cadeado trancado, você pode notar um símbolo de aviso.
A maioria dos navegadores da Web também pode apresentar mensagens de erro de página inteira informando que sua conexão não é segura.
Além disso, os criminosos podem levar os usuários a versões falsas de sites legítimos. Copycats mal projetados terão bandeiras vermelhas claras, como fontes inconsistentes ou mensagens bizarras.
Prevenindo ataques de remoção de SSL
Felizmente, os administradores da web têm a opção de proteger seus servidores e clientes da remoção de SSL. Por exemplo, as versões mais recentes do TLS criptografam mais interações cliente-servidor. Assim, embaralhar o processo de redirecionamento bloqueia as tentativas de interceptá-lo e controlá-lo. Além disso, os sites podem se beneficiar da lista de pré-carregamento HTTP Strict Transport Security (HSTS), reforçando conexões seguras.
No entanto, é possível que muitos sites ainda não tenham esses mecanismos de defesa. Assim, você deve saber como evitar ataques de remoção de SSL:
Instale a extensão HTTPS Everywhere para impor uma conexão segura a todos os sites.
Evite pontos de acesso desconhecidos , pois configurações de segurança ruins ou gêmeos malvados podem permitir que os criminosos façam downgrade de suas conexões para HTTP.
Considere o HTTP perigoso e saia de sites que não possuem certificados e protocolos de segurança válidos.
Proteja suas redes locais alterando seu SSID e senha padrão para evitar que entidades desconhecidas se conectem.
Instale uma Rede Privada Virtual que continuará criptografando sua conexão com a Internet, independentemente das proteções do site.
