Обновена на 23.12.2024 от Questo
Въпреки че използването на криптирана връзка при достъп до сайтове е практика от години, някои институции в България все още не я прилагат.
Никъде този проблем не е толкова видим, както в академичната общност. Сайтовете на някои от най-големите университети в страната използват системи за достъп, които не поддържат HTTPS.
Данните, които се въвеждат в тези системи – например потребителки имена и пароли, не са защитени и могат да бъдат прихванати от трети лица. Самите уязвими сайтове пък са откриеваеми с едно търсене в Google.
Какво е HTTPS
HTTPS (HyperText Transfer Protocol Secure) е протокол за криптиране при пренос на данни в интернет. Когато използвате HTTPS, данните, които изпращате и получавате, са криптирани. Ако въвеждате чувствителна информация като пароли, номера на кредитни карти или други лични данни, HTTPS е от съществено значение за предотвратяване на кражбата им.
Ще познаете, че един сайт поддържа протокола, по това, че адресът му започва с „https://“. Ако сайтът не поддържа протока, адресът му ще започва с „http://“.
Никога не въвеждайте чувствителни данни в сайтове, които не поддържат HTTPS!
Как може да бъде експлоатиран HTTP
Класическият пример за екплоатация е злонамерено лице, което се свързва към отворена Wi-Fi мрежа в кафене и следи трафика в мрежата със софтуер от рода на Wireshark или tcpdump.
Лицето може да види всички сайтове с HTTP, които посетителите на кафенето отварят. Тъй като трафикът към тези сайтове не е криптиран, лицето може да види и всички данни, които посетителите на кафенето въвеждат в тези сайтове – включително пароли, финансови данни, написани коментари в интернет форуми и т.н.
След това злонамереното лице може да използва тази информация, за да навреди на потребителя – например да го имперсонира пред дадена институция, да му открадне информацията за банковата карта, да извърши финансови трансакции от негово име.
Защо университетите са уязвими от липсата на HTTPS
В горния пример злонамереното лице трябва да подслушва трафика в мрежата на кафенето и да се надява, че в заведението ще влезе някой, който посещава уязвими сайтове без HTTPS.
Няма ли да е по-добре, ако злонамереното лице отиде на локация, където има отворени Wi-Fi мрежи и много потребители, които имат стимул да посещават един и същ уязвим сайт?
Такива локации са образователните институции, обществените институции (общини, държавни агенции и т.н.), болничните заведения, места с голям пътникопоток като летища, гари.
От гореизброените най-атрактивни за хакерите са университетите. Представете си хиляди студенти, използващи някоя от многото достъпни Wi-Fi мрежи в района, които едновременно въвеждат паролите си в един и същ сайт без HTTPS.
Това е златна мина за хакерите. Те могат да се свържат към някоя от достъпните мрежи и да прихваната паролите на студентите, които през уязвимия сайт на университета достъпват информационните му системи.
Някои от най-големите университети в България не използват HTTPS
Ако един сайт е просто информационен източник (не съдържа нищо повече от текстове и картинки), липсата на HTTPS не е толкова голям проблем, защото потребителят така или иначе не може да въвежда чувствителни данни в сайта.
Проблемът идва, когато сайтът е портал към информационни системи; и връзката към този портал не е криптирана с HTTPS. Тогава всяка информация, която потребителят въвежда на сайта, може да бъде прихваната от трети лица.
За съжаление такива примери могат да се открият при някои от най-големите български университети. Сайтовете им осигуряват незащитен достъп на студентите до информационни услуги като вътрешни системи за информация, имейл портали, електронни библиотеки и други.
Още по-лошото е, че тези сайтове се откриват съвсем лесно. Злонамерено лице може да използва комбинация от ключови думи и Google оператори като например: inurl:login -inurl:https:// site:*.bg „password“ , за да открие сайтове с BG домейн, които не използват HTTPS и от тях да отсее сайтовете на университетите.
По този начин с едно търсене в Google излизат различни узявими сайтове, сред които:
- Порталът за електронни услуги на Софийския университет
- Входна страница към имейл услуга на Технически университет – филиал Пловдив;
- Една от алумни платформите на Стопанска академия „Димитър А. Ценов“
- Системата за виртуално обучение на Технически университет – филиал Габрово
- И други подобни портали, свързани основно със споделянето на вътрешна информация и образователни ресурси
Може би се питате: „И какво ако някой разбере паролите за достъп до електронната библиотека? Какъв риск носи това?“
В този случай не говорим само за уязвими платформи за споделяне на образователна информация. Някои от посочените портали осигуряват различни административни услуги, което предполага, че може би използват лични данни.
Но дори и ако информацията в тези портали е напълно безполезна за хакерите, те все пак могат да видят паролите на потребителите, които ги достъпват. Много хора използват една и съща парола за различни акаунти. Така например много студенти може би ще използват едни и същи данни за достъп за всички информационни системи на университета.
Ако злонамереното лице знае данните за достъп към една система, то знае данните за достъп към всички останали.
Как да се предпазите
Като потребител няма как да промените факта, че сайтът на дадена институция все още допуска използването на HTTP. Но пък има няколко начина да намалите риска от изтичане на чувствителни данни.
- Не въвеждайте чувствителни данни, докато сте свързани към публично достъпна Wi-Fi мрежа
- Използвайте браузърни разширения като HTTPS Everywhere, които автоматично ви пренасочват към HTTPS версията на сайта (за съжаление това невинаги помага, защото някои портали просто нямат HTTPS версия)
Ако сте собственик на сайт, който не поддържа HTTPS, следва веднага да промените това: особено ако карате потребителите си да се регистрират, за да използват сайта, или да въвеждат чувствителни данни.
Има дори безплатни решения за HTTPS,но платените също са достъпни за повечето организации с какъвто и да е бюджет за ИТ.
Важна стъпка при инсталирането на HTTPS е да се провери дали старите адреси с HTTP са пренасочени правилно към съответстващите им адреси с HTTPS, както и дали всички ресурси на сайта се зареждат през HTTPS (не без срам признавам, че дори авторът на тази статия не спазва последното).