id: Гость   вход   регистрация
текущее время 08:43 23/11/2017
Владелец: SATtva (создано 14/09/2006 22:50), редакция от 15/05/2007 21:26 (автор: SATtva) Печать
Категории: криптография, инфобезопасность, протоколы, сайт проекта, статьи, стандарты, атаки, ssl, человек посередине
https://www.pgpru.com/Библиотека/Статьи/КтоБоитсяМэллориВульфа
создать
просмотр
редакции
ссылки

Кто боится Мэллори Вульфа?


В общепринятом представлении, протокол SSL служит для защиты от так называемой атаки "человек посередине" (man-in-the-middle, сокращённо MITM), или от Мэллори, как этого "человека" обозначают в криптологических кругах. Возникает вопрос, почему? По какой причине MITM стал главным компонентом модели угрозы в SSL? И почему все реализации протокола соглашаются с этим? (На самом деле, можно использовать SSL, или TLS, как он ныне известен, и без механизма защиты от MITM как части модели угрозы – то есть без сертификатов X.509, – но я опущу этот момент, как, впрочем, это делают и реализации.)


Стоит вспомнить времена создания SSL, период 1994 года: веб – второе величайшее приложение Всемирной сети (первым был email) – берёт баррикады; бизнесы начинают погружаться в бескрайние возможности электронной коммерции. Netscape превращался во властителя Новой Сети, в соперника Microsoft. И, как и у всего последующего сумесшествия дот-комов, бизнес-модель Netscape не представляла ничего выдающегося: продажа нескольких защищённых серверов – и все дела. Вся штука коммерции тех дней была великим чудом, ибо предусматривала зарабатывание денег, а деньги, заработанные честно, были тогда в Netscape ценным дефицитным товаром.


Чтобы не затягивать историю, перейдём к сути. Netscape создал вариант протокола HTTP, объединённого со слоем шифрования, – SSL. Он продавался в дополнение к его серверам как средство защиты платежей по кредитным картам, совершаемым через интернет.


Анализ разработчиков SSL показал, что его модель угрозы должна включать MITM. На чём было основано такое предположение? Трудно рассматривать это иначе, и стоит рассматривать именно так, учитывая опыт последних десяти лет, что включение MITM в модель угрозы было банальной ошибкой. Взгляните на простой факт: за всю историю интернета не состоялось ни единой атаки MITM, независимо от среды передачи, когда был бы зафиксирован и задокументирован перехват и незаконное использование кредитной карточки. Более того, не было проведено ни одной атаки MITM в любой агрессивной форме. Единственное, что известно, – это несколько демонстраций, выполненных в лабораторных условиях. Они не в счёт, и MITM по-прежнему остаётся более теоретической атакой, предметом исследований и дизайнерских концепций, нежели областью бизнеса и крипто-инженеринга.


Насколько серьёзен этот факт? В действительности, довольно прост, но учитывая объёмы трафика, виденного нами в последнее десятилетие, можно было бы допустить, что к сегодняшнему дню должны были появиться MITM и более агрессивных видов: сканирование емэйла или, вероятно, прослушивание незащищённого HTTP. (Впрочем, пришествие беспроводных сетей в виде 802.11b – Wi-Fi – стало плодородной почвой для подобных атак. Существуют даже аппаратно-программные комплексы для их проведения.) Однако до сего дня ни одного случая не зафиксировано. На самом деле, нет никаких свидетельств, помимо обстоятельного нытья некоторых параноиков, что потенциальные взломщики даже пассивно слушивают трафик, не говоря уже о проведении более изощрённых MITM-атак.


В мире кредитных карт, люди, непосредственно занятые в индустрии электронной коммерции, подтверждают в частных беседах справедливость таких аргументов. 1 Все случаи утери кредитных карт основаны на иных атаках. Что приводит нас к вопросу, а что есть угроза? И есть ли эта угроза в действительности? Другими словами, должен MITM входить в модель угрозы SSL или должен быть исключён?


Интернет-криптография даёт нам один ответ: "Если мы можем защититься от определённой атаки, мы должны от неё защититься, ибо в противном случае впадём в ложное чувство защищённости". Это то, что, в отсутствие лучшего термина, я называю "стопроцентной криптографией". Это своего рода ремесленное криптографическое слесарничество, как в те дни, когда мы в качестве новичков читали "большую красную книгу", думали, как разобраться со многими тёмными и страшными угрозами, и дружно без вопросов соглашались, что главной целью было перекрыть их больше, чем ваш сосед. В ночи мы обсуждали теории заговоров, сетовали на малоприменимость настоящей криптографии, на скудность ума наших оппонентов и на безвкусие нашего дешёвого вина. Я скучаю по тем дням, если не по плодам тех безумных времён, когда мы редко видели реальные результаты нашего кода, развёрнутого в "рабочих" условиях. Короче говоря, мы, "стопроцентные криптологи", создавали системы, основываясь на своих ожиданиях и предположениях, и не завершали цикл сбора оценок и предложений, чтобы воплотить реальные результаты эксплуатации в уже развёрнутых системах.


Экономика даёт нам другой ответ: стандартный анализ расходования средств.


  1. Оцените средний ущерб от каждой атаки;
  2. оцените количество атак;
  3. перемножьте предыдущие результаты, чтобы получить общую оценку угрозы;
  4. аналогично, оцените общую стоимость контрмер для защиты от этой угрозы;
  5. сравните:
    • если контрмеры обошлись дешевле стоимости этих атак, вы в выигрыше;
    • если вы потеряли больше, чем защитили, вы в убытке.

Это лишь экономика и статистика, и обоснование здесь в том, что кредитные карточки – ничто, если они не вписаны в основанную на экономике и статистике модель коммерции и воровства.


Итак, давайте примем ущерб от перехвата каждой кредитки от нашей MITM-атаки в $1000 (можете придумать собственную сумму, если вам не нравится эта). Далее, сколько всего атак? Ни одной, как было сказано выше. Перемножаем наши цифры и получаем... правильно, ноль.


Что это означает? Это означает, что если вы потратите даже цент на защиту от атак "человек посередине", вы окажетесь в проигрыше, поскольку, исходя из экономического и статистического анализа, основанного на отсутствии какого-либо ощутимого риска от MITM-атак, нет ни малейшей нужды в расходовании денег на защиту от них. Если мы верим в экономику, или, хотя бы, в приведённую модель ущерба и рисков, становится совершенно понятно, почему так важно измерять угрозы. Если не существует опыта атак MITM и какого-либо последующего ущерба, то модель определяет отсутствие угрозы.


Каков компромисс? Давайте прежде взглянем на другую часть уравнения. Создание защиты от MITM стоит денег. Эти расходы следует оценить и сравнить с потерями от MITM. (Если таковые были. Тем не менее, их можно ожидать. Чувствую нутром, что однажды атака произойдёт. Представьте, 10 млн. незащищённых сайтов – рано или поздно, это должно случиться.)


"Хороший" серверный сертификат Х.509 стоит около $700. Средняя цена его установки – от начала и до конца – в средней организации, похоже, затянется на несколько дней, но давайте оценим её в 6 часов времени. Почему так много? Потому что этот процесс редок и неавтоматизирован. Десятки одиночных этапов; подробный аудит, документация и т.п., от которых идёт кругом голова у технарей и скрипят зубы у менеджеров. Примем сумму в нашей средней западной компании за $50/час, и мы имеем расходы на установку приблизительно в $300. Забудьте об остальных расходах; оценим полную стоимость каждого сертификата примерно в $1000. Я думаю, она больше, но давайте округлим до $1000. Умножим на общее количество действующих сертификатов, порядка 100 тыс., и получим размер понесённых расходов в $100 млн. на защиту от атак "человек посередине". Каждый год, а иногда чаще, действие сертификатов истекает, так что мы как сетевое сообщество ежегодно тратим $100 млн. для предотвращения того, чего нет.


Вернёмся к копромиссу. Представим, что 10 MITM перехватили номера кредитных карт и успешно похитили по $1000 с каждой. Таким образом, мы защитили $10 тыс. Сообщество – то есть мы, мы все – попусту тратим время. Нужно 100 тыс. атак подобных масштабов, чтобы хоть как-то оправдать существующую инфраструктуру. Или 100 атак на шейхов с миллионными карточками. И это только для безубыточности системы! Нужно ещё больше, чтобы она приносила доход.


Всё это просто смешно. Эти цифры не поддаются подстройке, даже чтобы оправдать их хоть малой пользой для сообщества. Мы можем судить не только о том, что нет никакой ощутимой угрозы от MITM (Мэллори не видно нигде поблизости от кредитных карт, насколько известно их эмитентам), но и о невероятной растрате средств на защиту серверов от какого-то воображаемого лешего с дурацким именем Мэллори.


Для определённого сервера, любого конкретного сервера, защита от MITM может быть оправданной. Возможно, у владельца сервера более высокая модель угрозы, чем у обычного продавца товаров. Возможно, такую защиту требуют пользователи. А возможно, у владельца просто больше денег, и его не волнует экономия средств. Каждое из этих "возможно" было бы полезно и хорошо, если бы владелец имел единоличное право решения — решения о распоряжении своими деньгами. Однако в сегодняшнем вебе у владельца нет выбора. Если шифрование связи необходимо – например, для защиты от простого прослушивания – тогда требуется и сертификат! Этого требует софт: прежде всего браузеры, но также и серверы, сконфигурированные так, чтобы поднимать вонь от одной лишь мысли связаться с сайтом, у которого нет сертификата.


Таким образом, SSL, как он сегодня реализован, представляет собой грубейшую ошибку разработки. Угроза иллюзорна, но браузеры настаивают на защите. При переходе от незащищённых сайтов к защищённым пользователи начинают волноваться об отсутствии сертификатов, как будто бы от этого была какая-то разница. Несомненно, браузеры не должны дискриминировать сайты без сертификатов. Скажу даже больше: если пользователь заходит на сайт с автоподписанным (self-signed) сертификатом, браузер должен воздавать хвалу такому варианту: "Поздравляем! Вы выбрали сайт, который разумно защищает наше соединение с помощью Сертификата Свободы, созданного для защиты от мерзких нежелательных шпионов и для победы в войне над Осью Зла прослушивателей!".


Поскольку серверы не могут общаться с пользователем столь легко, им придётся ограничиться в борьбе с растратами и неверным распределением ресурсов путём исходной и изначальной настройки на лучшую возможную защиту. Автоматически генерируемые автоподписанные Сертификаты Свободы станут хорошей временной мерой до повсеместного распространения Anonymous-Diffie-Hellman, 2 и помогут нанести стремительный и сильнейший удар по противникам Свободного Серфинга.


© 2003 Иан Григг
Перевод © 2005 SATtva


1 Например, Лин Уиллер, 17 марта 2003 г.:

"... Теперь SSL защищает номера кредитных карт в процессе передачи. Однако в действительности мы ни разу не сталкивались с перехватом номеров кредиток "в полёте". Все крупные хищения номеров кредитных карт были связаны с несанкционированным доступом к файлам платёжных операций электронных коммерсантов... на серверах самих коммерсантов. Таким образом, SSL не оказывает никакого влияния на безопасность транзакций".

2 В действительности, изначально включённый в протокол SSL/TLS алгоритм анонимного согласования ключа по Диффи-Хеллману (Anonymous-Diffie-Hellman, или ADH), уже представляет замечательную возможность шифрованного серфинга. Напишите своему браузерному программисту сегодня и потребуйте немедленной реализации алгоритма в борьбе против террористов с большими ушами.


 
Много комментариев (11) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3