Protocoale de securizare a aplicațiilor web

1. Scurt istoric

SSL (Secure Sockets Layer) versiunea 2 a fost implementata în Netscape

Navigator 1.1 de catre Netscape în 1995. Versiunea 1 nu a fost implementata niciodata.

Microsoft a eliminat unele probleme de securitate din SSL v2 si în buna sa traditie, a introdus un protocol proprietar numit PCT (Private Communications Technology).

Urmarea a fost ca Netscape a modificat substantial SSL si asa a iesit versiunea 3. IETF a realizat faptul ca trei protocoale incompatibile cu functiuni similare dauneaza industriei si drept urmare a introdus un al patrulea protocol, TLS. Astazi protocolul de facto este SSL v3 si ramâne de vazut daca TLS va fi adoptat pe scara larga. În cele ce urmeaza, când se mentioneaza SSL se va întelege implicit si protocolul TLS, iar diferentele se vor evidentia acolo unde se impune.

2. Exemple de atacuri

In ziare se poate citi despre problemele de securitate a site-urilor web aproape in fiecare saptamana. Sa vedem cateva exemple de lucruri care s-au intamplat deja.

In primul rand, paginile principale ale multor organizatii au fost atacate si inlocuite cu alte pagini alese de spargatori. Printre sie-urile care au fost sparte se numara si Yahoo, Armata S.UA. , NASA, New Yor Times.

Multe site-uri au cazut din cauza atacurilor de refuz a serviciilor, in care spargatorul “inunda” siteul cu trafic ,facand-ul incapabil sa raspunda la cererile legitime. De multe ori atacul e lansat de pe un numar mare de masini in care spargatorul tocmai a intrat

In 1999, un spargator suedez a intrat in site-ul Hotmail al firmei Microsoft si a creat un site oglinda care permitea oricui sa scrie numele unui utilizator Hotmail si apoi sa citeasca toata posta electronica ,cea curenta, si cea arhivata, a persoanei respective.

In alt caz, un spargator rus de 19 ani numit Maxim a intrat intr-un site de comert electronic si a furat 300 000 de numere de carti de credit. Apoi i-a abordat pe detinatorii site-ului si le-a spus ca daca nu-l platesc cu 100000$ , va publica toate cartile de credit pe Internet. Ei nu au cedat santajului si el chiar a publicat numerele cartilor de credit , producand mari pagube unor victime inocente.

Alice vrea sa viziteze site-ul web al lui Bob. Ea tasteaza url-ul lui Bob in browser si dupa cateva secunde apare o pagina web. Dar este pagina lui Bob? Poate ca da, poate ca nu. O a treia persoana, sa zicem Trudy ar putea sa intercepteze toate pachetele ce vin de la Alice si sa le examineze. Cand gaseste o cerere HTTP de tip GET pentru site-ul lui Bob,ar putea sa se duca ea insasi la site-ul lui Bob ca sa ia pagina, sa o modifice asa cum doreste si sa ii trimita lui Alice pagina falsa. Mai rau, Trudy ar putea sa micsoreze preturile din magazinul virtual al lui Bob pentru a face ca produsele ca para foarte atractive, pacalind-o astfel pe Alice sa trimita numarul cartii ei de credit lui “Bob” sa cumpere ceva.

Un dezavantaj al acestui atac clasic de tip omul-din-mijloc este acela ca Trudy trebuie sa poata intercepta traficul ce pleaca de la Alice si sa il poata falsifica pe cel ce vine. Practic, ea trebuie sa intercepteze linia de telefon a lui Alice sau a lui Bob, pentru ca interceptarea fibrei optice este foarte dificila. Deci, interceptarea activa a cablurilor este cu siguranta posibila, ea presupune o anumita cantitate de munca.