Czy HTTPS daje bezpieczeństwo?

Artykuł/Technologie 09.12.2013
Czy HTTPS daje bezpieczeństwo?

Czy HTTPS daje bezpieczeństwo?

HTTPS (ang. Hypertext Transfer Protocol Secure) to szyfrowana wersja protokołu HTTP (ang. Hypertext Transfer Protocol). Czym jest http:// i do czego służy wszyscy wiedzą. Zadaniem tego wywołania jest przesyłanie żądania klienta (przeglądarki użytkownika) do serwera WWW, który następnie odpowiada na te zapytania. Dzięki niemu surfowanie po Internecie jest przyjazne dla użytkowników.

Komunikacja na linii klient – serwer odbywa się domyślnie za pośrednictwem protokołu HTTP. W przypadku jednak gdy komunikacja ta ma być szyfrowana najpierw następuje wymiana kluczy np. SSL, a później przesyłane jest żądanie http://. Strony internetowe zabezpiecza się za pomocą HTTPS po to by szyfrować komunikację czyli zapobiegać przechwytywaniu i zmienianiu przesyłanych danych oraz po to by zapewnić autentyczność dla źródła pochodzenia strony.

Czy e-usługodawcy muszą szyfrować dane?

W zależności od rodzaju e-usług i przepisów sektorowych regulujących aspekty zabezpieczania danych, stopień ich zabezpieczenia jest zróżnicowany. Jednakże na wszystkich usługodawcach ciąży obowiązek przestrzegania przepisów ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 nr 144 poz. 1204 z późn. zm., dalej jako „uśude“). Zgodnie z art. 20 ust. 1 pkt.2 uśude:

Usługodawca, który przetwarza dane osobowe usługobiorcy, jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o:

2) udostępnianych przez usługodawcę środkach technicznych zapobiegających pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione, danych osobowych przesyłanych drogą elektroniczną,

Tym samym wynika z niego jasno, że usługodawca jako Administrator Danych Osobowych powinien zabezpieczać dane osobowe przesyłane drogą elektroniczną. Do tego służy szyfrowanie. Jest to forma ochrony, ale jednak nie zapewnia 100% bezpieczeństwa. Niemniej jednak szyfrowanie komunikacji na linii klient – serwer jest ważne.

serwerownia serwer

Każdy Administrator Danych Osobowych (np. spółka technologiczna) jest obowiązany stosować się do przepisów dotyczących ochrony danych osobowych. Szczególnie interesującym dokumentem prawnym w zakresie szyfrowania komunikacji jest Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024). Zgodnie z treścią tego rozporządzenia w przypadku przetwarzania danych za pomocą urządzenia mającego dostęp do sieci publicznej (Internetu) konieczne jest wdrożenie procedury bezpieczeństwa na poziomie wysokim. Procedura ta zakłada m.in. wdrożenie środków kryptograficznej ochrony wobec danych osobowych wykorzystywanych do uwierzytelnienia (weryfikowanie tożsamości), które są przesyłane w sieci publicznej.

HTTPS – problem 1

Jedną z metod cyberprzestępców jest klonowanie stron internetowych usługodawców, które mają imitować oryginalne strony WWW. Następnie kupowany jest zbliżony adres URL do strony internetowej dostawcy usługi różniący się przykładowo jedną literką i stawiany jest na nim taki klon.

Faza ataku polega na wykorzystaniu phishingu (o tym jak działa socjotechnika w tym wydaniu szczegółowo pisałam tutaj) , którego zadaniem jest nakłonienie użytkownika interesującą go informacją do odwiedzenia takiej fałszywej strony WWW i wpisania na niej np. loginu i hasła umożliwiającego dostęp do e-usługi. Użytkownik na podrobionej stronie wpisuje dane logowania, ale nie łączy się ze swoim panelem do zarządzania kontem tylko następuje odświeżenie strony. W tym czasie cyberprzestępcom przesyłane są dane dostępowe, a użytkownik przekierowywany jest na właściwą stronę logowania. Zupełnie niczego nieświadoma osoba nie zwróci nawet uwagi na to, że system zachował się nieprawidłowo. System w przypadku podania błędnych danych wyświetla bowiem komunikat, a nie prowadzi do odświeżenia strony.

Jeżeli usługodawca nie posługuje się protokołem HTTPS ułatwia zadanie cyberprzestępcom. Użytkownicy nie są bowiem przyzwyczajeni do przedrostka https:// stąd intruzi nie muszą nawet zakupić certyfikatu SSL by zwiększyć szanse powodzenia ataku. Jeżeli jednak usługodawca posługuje się protokołem HTTPS i edukuje użytkowników by zwracali uwagę na połączenie z witryną, a cyberprzestępcy stroną opartą na protkole HTTP, to zmniejsza się prawdopodobieństwo powodzenia ataku.

Problem pojawia się wtedy gdy cyberprzestępcy wykupują certyfikat SSL posługując się fałszywami danymi by oszukać wystawcę certyfikatu. Robią to po to by ich podrobiona strona jak najbardziej przypominała oryginał. Użytkownicy nie mają zwyczaju weryfikowania certyfikatów. Dla nich liczy się szybkie spojrzenie czy strona ma przedrostek https:// i przykładowo zielony pasek (o ile usługodawca posługuje się certiyfikatem zapewniającym tego typu ochronę). Jeżeli nie dostrzegą, że strona internetowa ma inny adres URL niż oryginalna to staną się ofiarami ataku. HTTPS w takiej sytuacji nie zapewni zatem im bezpieczeństwa.

bezpieczenstwo

 

HTTPS – problem 2

Wystawca certyfikatu sam może stać się ofiarą ataku cyberprzestępców. Niestety od momentu wykrycia incydentu do jego ujawnienia może upłynąć dużo czasu. Kompromitacja (ujawnienie) kluczy nie zapewni bezpieczeństwa, a pozwoli na podsłuchanie komunikacji na linii klient – serwer. Usługodawca w takim przypadku musi podjąć odpowiednie procedury bezpieczeństwa. Wdrożony System Zarządzania Bezpieczeństwem Informacji (na który składa się minimum: Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemem Informatycznym, Plan Ciągłości Działania) przychodzi wtedy z pomocą.

HTTPS – problem 3

Poważnym problemem jest także złośliwe oprogramowanie (ang. malware) instalowane w przeglądarkach internetowych użytkowników, umożliwiające przeprowadzenie ataku MITM (Man In The Middle). Cyberprzestępcy mają przeróżne sposoby na to by malware zasilił przeglądarkę. Celem takiego programu może być przekierowywanie użytkownika Internetu na fałszywą stronę zarządzaną przez cyberprzestępców nawet po wpisaniu w pasku przeglądarki prawidłowego adresu URL. Jeżeli użytkownik nie ma nawyku weryfikowania poprawności adresu URL to zwiększa się szansa na przeprowadzenie ataku. Jeżeli jednak podstawiona strona nie jest zabezpieczona protokołem HTTPS a oryginalna jest to użytkownik może szybciej dostrzec, że znajduje się na nieprawidłowej stronie internetowej. Wszystko jednak sprowadza się do spostrzegawczości użytkownika.

Atak typu MITM może zostać jednak wykorzystany w taki sposób, że cyberprzestępcy nie muszą tworzyć spreparowanych stron www. To powoduje, że użytkownicy stają się niemalże bezbronni gdy usługodawca nie zapewnia dodatkowych form bezpieczeństwa. Skoro cyberprzestępcy nie muszą preparować stron WWW to co robią? Najpierw infekują przeglądarki użytkowników złośliwym oprogramowaniem, a potem jedynie czekają, aż zaczną oni wchodzić na stronę dostawcy (np. banku) i wykonywać interesujące ich czynności.

Po wejściu na stronę internetową użytkownik widzi pasek https://, nawet może sprawdzić wiarygodność certyfikatu, a i tak przykładowo przeleje pieniądze na inny rachunek bankowy (o ile oczywiście dostawca usługi nie oferuje odpowiednich zabezpieczeń). Cały proces odbywa się poprzez nałożenie swego rodzaju nakładki. Sprowadza się to do tego, że użytkownik widzi poprawny rachunek bankowy na swojej zainfekowanej przeglądarce, a w rzeczywistości wpisuje inny nr rachunku bankowego. W takim przypadku HTTPS nie zapewnia wystarczającego poziomu bezpieczeństwa. Potrzebne są dodatkowe mechanizmy ochronne.

Beata-Marek-CyberlawBeata Marek IT&IP Lawyer, cyberlaw.pl

Beata jest prawnikiem e-przedsiębiorców. Łączy biznes z prawem i bezpieczeństwem teleinformatycznym. Specjalizuje się w prawie nowych technologii ze szczególnym uwzględnieniem prawa IT, prawa własności intelektualnej (prawo autorskie, prawo własności przemysłowej), ochrony danych, bezpieczeństwa informacji, cyberprzestępczości, ochrony znaków towarowych i domen, a także świadczeniu e-usług w obrocie krajowym i zagranicznym.

Zdjęcia https and lock symbolSecurity concept: Lock on digital screen, contrast, 3d render oraz Computer servers pochodzą z serwisu Shutterstock.

 

Dołącz do dyskusji