Опасность безопасных соединений
30.08.2007Это скорее не статья, и не новость, а предупреждение пользователям в связи с увеличением использования защищенных протоколов в передаче данных между клиентом и сервером.
Почтовый сервис с поддержкой HTTPS (например, GMail)
Популярный почтовый сервис GMail предоставляет доступ к своим услугам только через безопасное соединение. Известно, что на почтовых серверах GMail установлен антивирус. Теперь представим себе такую ситуацию:
- Вирусописатель посылает свой вирус на почтовый ящик пользователя GMail.
- Антивирус GMail не распознает вирус, потому что обновление антивирусных баз запоздало.
- Через некоторое время пользователь беспрепятственно скачивает это зараженное письмо на локальный компьютер, потому что антивирус GMail в целях оптимизации своей работы проверяет письма только при получении в почтовый ящик, но не проверяет при передаче их непосредственно пользователю.
- На локальном компьютере при включенном локальном почтовом антивирусе и уже известной сигнатуре вирус не обнаруживается, поскольку сетевое соединение было зашифровано согласно требованиям GMail, и почтовый антивирус не смог проверить письмо.
- Файловый антивирус находит вирус в почтовой базе, и требует удалить ее, т.к. в ряде случаев лечение почтовой базы невозможно.
Итог: пользователь может потерять всю свою переписку (например, если скачанное письмо сохраняется в почтовой базе пользователя, которая храниться в виде одного файла, например, messages.tbb в программе TheBat!). Для лечения данного заражения может быть необходимо весьма трудоемкое вмешательство в структуру почтовой базы либо невозможность этого лечения, и тут поможет только резервное копирование.
Вирус на веб-сервере
Другой пример, не менее любопытный: размещение зараженного файла на веб-сервере и привлечение пользователей Интернета на этот сервер. Если вирус выложен на обычный сервер, передающий и принимающий данные по протоколу HTTP, защищенному веб-антивирусом, компьютеру ничего не угрожает. В то же время, если вирус будет выложен на сервер, предоставляющий услуги по протоколу HTTPS, ситуация будет не так прозрачна:
- Вирусописатель, пользуясь брешью в доступе к хранимым на сервере файлам (например, как в нашумевшей истории с заражением серверов российского провайдера Valuehost), заменяет часть из них на свои вирусы.
- Пользователь заходит на знакомый сайт через обычный браузер по протоколу HTTPS. Веб-антивирус не может просмотреть данные в зашифрованном соединении и не может препятствовать передаче зараженных файлов.
- Вместо обычной веб-странички в его браузер попадает страница, в которой содержится эксплойт, использующий уязвимость браузера. Он мгновенно активизируется и исполняет свой код изнутри браузера.
Файловый антивирус также не может помешать его исполнению, потому что зараженный файл попадает к нему на обработку только после сохранения на диске, т.е. в данном случае после исполнения вредоносного кода.
Итог: компьютер заражен.
Вывод: наличие безопасного соединения само по себе совсем не означает того, что данные, которые вы получаете, безопасны. Просто вы сами не можете контролировать безопасность данных, которые сами же и получаете. Так что будьте внимательны.
Несколько подробнее данный вопрос рассматривается в статье Опасность безопасных соединений.
[<<< Следующая новость] [Все новости] [Предыдущая новость >>>]