Ataques por protocolo SSL em Ascensão

Faz mais de 20 anos que as primeiras versões do protocolo Secure Socket Layer (SSL) surgiram de uma equipe de engenheiros da Netscape Communications. À medida que a Internet e, mais especificamente, a World Wide Web começou sua escalada íngreme no início dos anos 90, esses engenheiros reconheceram que para impulsionar interações mais profundas on-line, um padrão para proteger as comunicações precisaria ser amplamente adotado.

SSL como um vetor para ataque

Como sempre em tendências, a adoção em massa de certas tecnologias é seguida de perto pelos esforços para explorar seu uso em todo o mundo através de uma série de ameaças à segurança. O SSL não é uma exceção a essa regra, e experimentou um grande número de vulnerabilidades altamente divulgadas que forçaram os usuários a migrarem para versões novas e mais seguras e, em última instância, um protocolo de substituição, como o TLS (Transport Layer Security).

Entretanto, explorações de vulnerabilidades recém-identificadas não são a única maneira pela qual a adoção de SSL está sendo usada como arma nas mãos de atacantes mal-intencionados e criminosos por trás de ameaças cibernéticas. O SSL está sendo cada vez mais usado para mascarar e complicar ainda mais a detecção de tráfego em redes e ameaças em nível de aplicativo.

Fluxo Assíncrono de Dados

Os ataques por protocolo SSL estão ganhando popularidade entre os invasores, pois exigem apenas um pequeno número de pacotes para causar negação de serviço (DDoS) para um serviço razoavelmente grande. Os criminosos lançam ataques que usam SSL por conta do handshake de sessão SSL consumir 15 vezes mais recursos do lado do servidor do que do lado do cliente, o que significa que o ataque aumentou exponencialmente em tamanho sem exigir bots ou largura de banda adicionais. Como resultado desses efeitos de amplificação, até mesmo um pequeno ataque pode resultar em danos incapacitantes.

Ataques por SSL/Criptografados de Diferentes Categorias

Os ataques cibernéticos, incluindo ataques de negação de serviço distribuído (DDoS – Distributed Denial of Service) e ataques avançados a aplicativos da Web, continuam afetando as empresas à medida que avançam para mais operações on-line. Para ambos os tipos de ataques, os que utilizam o tráfego criptografado como um vetor de ataque estão em ascensão, desafiando ainda mais muitas das soluções de ameaças cibernéticas atualmente em vigor. A maioria das tecnologias de atenuação de ataques cibernéticos na verdade não inspeciona o tráfego SSL, pois exige a descriptografia do tráfego inicialmente criptografado. De acordo com o Relatório Global de Segurança de Rede e Aplicações 2017-2018 da Radware, 30% das empresas relataram sofrer um ataque baseado em SSL, com relação um para quatro não tendo certeza se sofreram tal ataque, considerando os seguintes ataques SSL como os descritos a seguir:

• Ataques Criptografados por SYN Flood

Esses ataques são semelhantes em natureza a ataques SYN flood padrão e não criptografados, esgotando recursos para concluir o handshake SYN-ACK. A diferença é que esses ataques complicam ainda mais o processo, criptografando o tráfego e forçando o uso de recursos de handshake SSL.

• Renegociação SSL

Ataca iniciando um handshake SSL regular e solicitando imediatamente a renegociação da chave de criptografia. A ferramenta repete constantemente essa solicitação de renegociação até que todos os recursos do servidor tenham sido esgotados.

• Flood em HTTPS

Provoca sobrecarga de tráfego por HTTP criptografado, geralmente como parte de campanhas de ataque de vários vetores. Compondo o impacto das inundações HTTP “normais”, os ataques HTTP criptografados adicionam vários outros problemas como a carga dos mecanismos de criptografia e descriptografia.

• Ataques por Aplicações Web Protegidas

As modalidades de ataque de vários vetores também aumentam cada vez mais os ataques lógicos de aplicativos da Web que não são DoS. Ao criptografar o tráfego, esses ataques geralmente passam por proteções contra DDoS e aplicativos da Web sem serem detectados.

Diferente das Vulnerabilidades SSL

O universo da Tecnologia da Informação que aproveita o SSL recebeu um grande alerta em abril de 2014 com a divulgação da vulnerabilidade do Heartbleed associada às implementações do OpenSSL. Embora longe do primeiro, o Heartlbleed era indiscutivelmente a vulnerabilidade SSL com o maior alcance e impacto em potencial, já que 17% das implementações de SSL estavam usando a instância vulnerável do software OpenSSL.

Algumas outras vulnerabilidades SSL importantes surgiram ao longo dos anos, incluindo a RC4 de longa data (e ainda impactante) originalmente descoberta em 2002, e a mais recente vulnerabilidade POODLE que explora alguma lógica de software para failback para SSL 3.0 (expondo outras vulnerabilidades conhecidas).

Essas vulnerabilidades SSL não estão diretamente relacionadas aos ataques DDoS SSL e aos ataques avançados a aplicativos da Web descritos anteriormente. No entanto, essas vulnerabilidades podem causar uma distração ao abordar os pontos fracos mais amplos do ataque baseado em não vulnerabilidade e destacar a tendência de exploração de tecnologias amplamente adotadas.

Protocolo SSL em todo lugar

Apesar de alguns problemas de segurança de alto relevância, o SSL (e o TLS) continuam sendo os padrões para garantir comunicações e comércio seguros na Web, e tem visto um crescimento dramático nos últimos anos. Quando o SSL foi concebido e introduzido, um número relativamente pequeno de empresas tinha sites, e menos ainda administravam o comércio ou aspectos críticos das operações on-line. Hoje, a maioria das empresas de tamanho razoável tem um site ativo para promover o engajamento do consumidor e, no mínimo, comunicações adequadamente seguras (se não transações) por meio de seu website.

De acordo com a Fundação Mozilla, mais de 70% dos sites agora usam criptografia SSL. À medida que mais e mais sites adicionam recursos SSL ou TLS, a adoção do usuário, por sua vez, também aumenta.

O setor de tecnologia tem promovido ativamente a adoção mais ampla de SSL / TLS por meio de iniciativas como o projeto “Let’s Encrypt”, que oferece certificados SSL gratuitos para sites, em um esforço para levar mais usuários à comunicação e comércio on-line criptografados.

Modelo na Vida Real: PROTONMAIL

Por muitos anos, foi recomendado implementar SSL para suportar sites de comércio eletrônico ou qualquer transação com cartão de crédito. Essas limitações desapareceram com o crescimento de outros propósitos para comunicações seguras. Uma área de crescimento dramático é serviços de e-mail criptografados.

Uma série ataques recentes destacou como os provedores de serviços criptografados podem se tornar alvos de ataques criptografados. ProtonMail é um provedor líder de serviços de e-mail criptografados, fornecendo um meio seguro de comunicação para mais de 500.000 usuários. Em novembro de 2015, o ProtonMail foi alvo de uma série de ataques DDoS avançados que incluíram ataques volumétricos de mais de 100 Gbps, bem como ataques na camada de aplicativos. Os ataques também incluíam vários vetores de ataque criptografados, incluindo ataques SSL SYN flood, que exigiam análise comportamental avançada para identificar o tráfego malicioso e manter os fluxos de tráfego criptografados legítimos.

Dificultando a Identificação e Reforçando a Mitigação por Desempenho

Da mesma maneira que o SSL e a criptografia protegem a integridade das comunicações legítimas, eles também ofuscam muitos atributos de tráfego usados para determinar se são maliciosos ou legítimos. Identificar o tráfego de ataque nos fluxos de tráfego criptografados é semelhante a encontrar uma agulha em um palheiro no escuro. A maioria das soluções de ataques cibernéticos lutam para identificar tráfego potencialmente mal-intencionado de fontes de tráfego criptografadas e isolá-lo para análise posterior (com potencial mitigação).

A outra grande vantagem que os ataques SSL oferecem aos invasores é a capacidade de colocar um estresse significativo na computação e nas infraestruturas de aplicativos visadas. O processo de descriptografar e criptografar novamente o tráfego de SSL aumenta os requisitos de processamento do tráfego, em muitos casos além do desempenho funcional de dispositivos usados para mitigação de ataques.

A maioria é sequencial e estática e não pode lidar com ataques criptografados por SSL, tornando-o vulnerável a ataques de inundação SSL. Poucas dessas soluções podem ser implantadas fora do ambiente, o que é uma necessidade para fornecer proteção ao mesmo tempo em que limita o impacto em usuários legítimos.

Muitas soluções que podem fazer algum tipo de descriptografia tendem a depender da taxa que limita a taxa de solicitação, o que resulta na queda do tráfego legítimo e na efetiva conclusão do ataque. Por fim, muitas soluções exigem que o cliente compartilhe certificados de servidores reais, o que dificulta a implementação, o gerenciamento de certificados e força os clientes a compartilharem chaves privadas para proteção na nuvem.

Estratégias para Proteção contra Ataques por SSL

A triste realidade é que a maioria das soluções de proteção por ataque DDoS fornece proteção apenas para certos tipos de ataques e, em muitos casos, sofre com ataques SSL. A conclusão é que, para fornecer proteção eficaz, as soluções precisam fornecer cobertura completa de vetores de ataque (incluindo SSL), alta escalabilidade para atender às crescentes demandas do consumidor e maneiras inovadoras de minimizar, se não eliminar, essas ameaças.

Procure por empresas que ofereçam soluções capazes em mitigação de ataques SSL. Permitindo atender às necessidades de soluções de mitigação de alta capacidade, suportar todas as versões comuns de SSL e TLS e isolar o tráfego criptografado suspeito usando a análise comportamental para limitar o impacto legítimo do usuário. Também fornecendo desafios avançados / mecanismos de resposta para validar o tráfego criptografado como suspeito, impactando apenas a sessão inicial do usuário onde sessões de usuários autenticados passam sem serem afetadas, fornecendo latência zero quando não estiver sobre ataque e latência mínima quando estiver sob ataque.

Uma solução em implantação assimétrica, em que somente o tráfego criptografado de passagem passa pelo mecanismo de mitigação, podendo integrar mensagens de defesa entre componentes DDoS e WAF para fazer análise e mitigação de ataques criptografados avançados via HTTPS com sinalização para defesa do perímetro é ideal. Permitindo proteção do nível WAF na velocidade da linha sem latência adicional para usuários legítimos.