| Summary: | Nykypäivänä yhä useampi palvelu on digitalisaation kautta viety internetiin, jolloin on tarpeen siirtää HTTPS-protokollan avulla myös arkaluontoista dataa, jota verkkorikollisetkin pyrkivät saamaan haltuunsa. Verkkorikollisten tavoitteena on selaimen ja palvelimen välisen salauksen poistaminen tästä datavirrasta. Opinnäytetyössä selvitettiin, kuinka HTTPS-protokollaa vastaan voidaan hyökätä, ja kuinka näitä hyökkäyksiä vastaan voidaan suojautua. Lisäksi tutkittiin penet-raatiotestimenetelmiä, sekä millaisissa testiympäristöissä hyökkäysten suorittamista voidaan testata.
Tutkimuksessa lähdettiin aluksi selvittämään, millä tavoin hyökkääjä voi purkaa salauksen kah-den laitteen väliltä. Tämän jälkeen tutkittiin testiympäristön tarpeita ja vaatimuksia sen rakenta-miseksi. Lopuksi testien suorittamisen jälkeen etsittiin keinoja suojautua löydetyiltä hyökkäys-menetelmiltä. Penetraatiotestauksesta kertovan kirjallisuuden ja tutkimusartikkelien avulla selvi-si, että halutessaan poistaa salauksen kahden laitteen välisestä tiedonsiirrosta, verkkorikolliset voivat suorittaa HTTPS- tai TLS- protokollan ns. downgrade-hyökkäyksen. Tällaisessa hyökkäyk-sessä tavoitteena on protokollan version tai jonkin sen ominaisuuden heikommaksi alentaminen, jolloin tietyllä haavoittuvuudella saadaan salaus purettua. Toinen menetelmä on käyttää väären-nettyä tai muulla tavoin laittomin keinoin haltuun saatua sertifikaattia.
Testiympäristössä suoritetuissa testeissä yritettiin poistaa salaus web-sivulta lomakkeessa lähe-tetyistä kirjautumistunnuksista. Ensimmäinen testi sai salauksen purettua selaimen ja palveli-men välisestä tiedonsiirrosta, mutta web-sivu ei latautunut selaimelle. Toisella, tehokkaammalla penetraatiotyökalulla saatiin salaus purettua osasta testitapauksia. Tulosten perusteella vaikut-taa siltä, että suojauskeinona käytetyn HSTS-otsikkotiedot suojaavat puutteellisinakin, kunhan niihin on liitetty preload-direktiivi. Lopullista päätelmää ei kuitenkaan voida tehdä, koska ei tiede-tä mahdollisia muita sivuston käyttämiä suojausmenetelmiä.
|
|---|