Опасность безопасных соединений
30.08.2007Это скорее не статья, и не новость, а предупреждение пользователям в связи с увеличением использования защищенных протоколов в передаче данных между клиентом и сервером.
Почтовый сервис с поддержкой HTTPS (например, GMail)
Популярный почтовый сервис GMail предоставляет доступ к своим услугам только через безопасное соединение. Известно, что на почтовых серверах GMail установлен антивирус. Теперь представим себе такую ситуацию:
- Вирусописатель посылает свой вирус на почтовый ящик пользователя GMail.
- Антивирус GMail не распознает вирус, потому что обновление антивирусных баз запоздало.
- Через некоторое время пользователь беспрепятственно скачивает это зараженное письмо на локальный компьютер, потому что антивирус GMail в целях оптимизации своей работы проверяет письма только при получении в почтовый ящик, но не проверяет при передаче их непосредственно пользователю.
- На локальном компьютере при включенном локальном почтовом антивирусе и уже известной сигнатуре вирус не обнаруживается, поскольку сетевое соединение было зашифровано согласно требованиям GMail, и почтовый антивирус не смог проверить письмо.
- Файловый антивирус находит вирус в почтовой базе, и требует удалить ее, т.к. в ряде случаев лечение почтовой базы невозможно.
Итог: пользователь может потерять всю свою переписку (например, если скачанное письмо сохраняется в почтовой базе пользователя, которая храниться в виде одного файла, например, messages.tbb в программе TheBat!). Для лечения данного заражения может быть необходимо весьма трудоемкое вмешательство в структуру почтовой базы либо невозможность этого лечения, и тут поможет только резервное копирование.
Вирус на веб-сервере
Другой пример, не менее любопытный: размещение зараженного файла на веб-сервере и привлечение пользователей Интернета на этот сервер. Если вирус выложен на обычный сервер, передающий и принимающий данные по протоколу HTTP, защищенному веб-антивирусом, компьютеру ничего не угрожает. В то же время, если вирус будет выложен на сервер, предоставляющий услуги по протоколу HTTPS, ситуация будет не так прозрачна:
- Вирусописатель, пользуясь брешью в доступе к хранимым на сервере файлам (например, как в нашумевшей истории с заражением серверов российского провайдера Valuehost), заменяет часть из них на свои вирусы.
- Пользователь заходит на знакомый сайт через обычный браузер по протоколу HTTPS. Веб-антивирус не может просмотреть данные в зашифрованном соединении и не может препятствовать передаче зараженных файлов.
- Вместо обычной веб-странички в его браузер попадает страница, в которой содержится эксплойт, использующий уязвимость браузера. Он мгновенно активизируется и исполняет свой код изнутри браузера.
Файловый антивирус также не может помешать его исполнению, потому что зараженный файл попадает к нему на обработку только после сохранения на диске, т.е. в данном случае после исполнения вредоносного кода.
Итог: компьютер заражен.
Вывод: наличие безопасного соединения само по себе совсем не означает того, что данные, которые вы получаете, безопасны. Просто вы сами не можете контролировать безопасность данных, которые сами же и получаете. Так что будьте внимательны.
Несколько подробнее данный вопрос рассматривается в статье Опасность безопасных соединений.
[<<< Следующая новость] [Все новости] [Предыдущая новость >>>]
Почтовый сервер
Mikrotik
VPN
3proxy
Шифрование
Squid
Резервное копирование
Защита почты
Виртуальные машины
Настройка сервера
java
kvm
Групповые политики
SELinux
OpenVPN
IPFW
WDS
Lightsquid
Samba
firewalld
systemd
Mobile
libvirt
Remote desktop
WiFi
Iptables
NAT
Postfix
Dovecot
Удаление данных
Софт
Безопасность
Winbox
User agent
Хостинг
Передача данных
Онлайн сервисы
Privacy
LetsEncrypt
VPN сервер
Настройка прокси
RRDTool
sendmail
Rsync
Linux
SSH
Система
Windows
Синхронизация
Облако
fail2ban
FreeBSD