O que é SSL Inspection? Como funciona?

Tudo o que você precisa saber sobre a inspeção SSL, também conhecida como interceptação HTTPS

O que é SSL Inspection? Como funciona?

A inspeção SSL(SSL Inspection) ou interceptação TLS / HTTPS é um conceito fascinante que divide opiniões. Alguns consideram a inspeção SSL uma ideia absurda, enquanto outros a torcem com convicção. Parece haver muito pouco meio-termo. É como o debate interminável “Pineapple on the Pizza”. Pessoalmente, não suporto a visão de Abacaxi olhando para mim deitado confortavelmente em uma fatia de pizza. Mas não vamos lá porque todos nós sabemos como termina - não termina.

O que é inspeção SSL?

A inspeção SSL / TLS ou interceptação HTTPS é o processo de interceptar a comunicação criptografada SSL / TLS da Internet entre o cliente e o servidor. A interceptação pode ser executada entre o remetente e o receptor e vice-versa (receptor para remetente) - é a mesma técnica usada em ataques man-in-the-middle (MiTM) , sem o consentimento de ambas as entidades.

À primeira vista, pode parecer que a inspeção SSL prejudica o propósito para o qual o HTTPS / SSL foi criado. No entanto, não é tão simples assim.

Todos nós sabemos que a criptografia SSL / TLS nos ajuda a proteger nossas informações confidenciais (como senhas e detalhes de cartão de crédito). Cada bit de dados é transformado em um formato indecifrável e, portanto, nos protege de espionagem e adulteração de dados.

No entanto, nem tudo é sol e arco-íris.

Junto com suas informações legítimas, o conteúdo malicioso também pode ser escondido no tráfego criptografado. E porque é criptografado, ele passa despercebido pelos mecanismos de segurança comuns, o que significa que pode causar os danos que deveria causar. Ataques de malware baseados em SSL se tornaram uma coisa comum nos dias de hoje, com HTTPS sendo utilizado em cerca de 37% dos malwares.

A Inspeção SSL é * destinada a inspecionar * e filtrar conteúdo potencialmente perigoso, como malware. Este tipo de inspeção ou interceptação é denominado Full SSL Inspection ou Deep SSL Inspection. Ele permite que você faça varredura antivírus, filtragem da web, filtragem de e-mail, etc. A interceptação e a inspeção são feitas por um dispositivo de interceptação localizado no meio, geralmente chamado de 'middlebox'.

Como funciona a inspeção SSL?

Em termos simples, SSL Inspection ou HTTPS Interception é um ataque man-in-the-middle executado para filtrar conteúdo malicioso. A Inspeção SSL ou Interceptação TLS, como vimos, é feita por meio de um dispositivo de interceptação. Esse interceptor fica entre o cliente e o servidor, com todo o tráfego passando por ele.

Quando a conexão é feita por HTTPS, o inspetor intercepta todo o tráfego, descriptografa e faz a varredura. Primeiro, o interceptor estabelece uma conexão SSL com o servidor da web. Aqui, ele descriptografa e examina os dados. Assim que a varredura é concluída, ele cria outra conexão SSL - desta vez com o cliente (navegador). Dessa forma, os dados chegam ao cliente em um formato criptografado - da maneira que se pretendia originalmente.

Esta é uma visão geral do processo de inspeção SSL do tráfego de entrada:

  • Primeiro, o middlebox intercepta o tráfego que chega e descriptografa as sessões HTTPS entre clientes e servidores.
  • Depois que o tráfego é descriptografado, o middlebox inspeciona o conteúdo por meio de varredura antivírus, filtragem da web, etc.
  • Em seguida, o interceptor criptografa o tráfego e o encaminha para o destino, neste caso o servidor web.

A inspeção SSL funciona quase da mesma maneira para o tráfego de saída também. 

 

Inspeção SSL mal executada está prejudicando a segurança

Em 2017, um estudo realizado por uma grande equipe de acadêmicos e profissionais mostrou que a SSL Inspection está fazendo mais mal do que bem . Essa equipe incluía acadêmicos e profissionais como Zakir Durumeric, Zane Ma, Drew Springall, Elie Bursztein, Nick Sullivan (Chefe de Criptografia da Cloudflare) e Richard Barnes (Grupo de Pesquisa de Segurança da Internet).

A equipe analisou cerca de 8 bilhões de handshakes SSL / TLS, comparando os dados das conexões observadas para determinar quando um interceptor estava fazendo a ponte entre o servidor e o cliente. Eles descobriram que até 10,9% das conexões observadas foram interceptadas.

Isso tem enormes implicações na verdadeira privacidade fornecida por essas conexões HTTPS. Mas o problema mais significativo é que alguns produtos de interceptação estão enfraquecendo gravemente o HTTPS ao usar criptografia desatualizada e falha na implementação de recursos essenciais.

O estudo mostra que 62% do tráfego que atravessa um middlebox de rede reduziu a segurança e 58% das conexões de middlebox têm vulnerabilidades graves. Eles também investigaram antivírus populares e proxies corporativos, descobrindo que quase todos reduzem a segurança da conexão e que muitos introduzem vulnerabilidades.

Embora haja uma maneira de realizar a inspeção HTTPS com segurança e sem muita latência, a interceptação SSL mal realizada é um problema.

Palavra final

Do ponto de vista da segurança organizacional, a inspeção SSL parece boa no papel. E, se implementado corretamente, pode evitar muitos danos. Mas, como vimos, isso nem sempre acontece.

Boa parte da culpa deve ir para os fabricantes de middlebox por usar configurações SSL / TLS obsoletas ou inseguras. E então, é claro, sempre há um risco na forma do elemento humano .

No momento, a inspeção SSL pode potencialmente estar fazendo mais mal do que bem, é por isso que nos próximos meses vamos nos aprofundar na prática e explorar os melhores métodos e práticas para inspecionar com segurança o tráfego HTTPS sem sacrificar a segurança ou o desempenho.

Comentários 0 Comentários

Seja o primeiro a comentar.