Autor: Robert Buljević

U posljednjih nekoliko mjeseci, mnogi popularni on-line servisi i društvene mreže krenuli su u masovnu implementaciju SSL komunikacije (HTTPS) kod pristupa sadržaju, u nastojanju da zaštite identitet svojih korisnika.

Čini se da je poticaj ovom trendu dala objava jednostavnog alata FireSheep u listopadu 2010., koji je zapravo razotkrio sve slabosti online servisa u zaštiti privatnosti i identiteta. Ukratko, Firesheep je pokazao da je krađa identiteta trivijalna ukoliko koristimo servise poput Twittera ili Facebook-a, koji nude nikakvo ili nepotpuno kriptiranje sesije putem SSL-a. Npr. Firesheep će na jednostavan način omogućiti napadaču da preuzme identitet bilo koje osobe u lokalnoj mreži i ulogira se kao ta osoba na društvene mreže.

Naoko nebitan alat pomalo blesavog imena, Firesheep je uspio natjerati najpopularnije web servise, društvne mreže, online trgovine i tražilice da ozbiljnije shvate sigurnosne probleme koji proizlaze iz potpuno nezaštićenih HTTP komunikacija.
Od tada su mnogi servisi ostvarili značajan napredak u zaštiti identiteta svojih korisnika, kao što pokazuju podaci George Ou-a iz Digital Society-a.

Slika: stanje sigurnosti popularnih online servisa (02/2011)

Napredak se odnosi poglavito na Facebook, koji istina i dalje zahtijeva ručno uključivanje HTTPS/SSL u postavkama korisničkog profila. Nedavno je i Google pokrenuo uvođenje obaveznog SSL-a kod svih svojih programerskih API-a (npr. Google Maps i slično), a najpopularnija web tražilica već sada nudi korisnicima kriptirani pristup.

Iako servisi poput Twittera, Flickr-a ili Hotmaila imaju još dosta puta pred sobom, sada je sigurno da će se trend "SSL-izacije" nastaviti i u bliskoj budućnosti.

Ovo je dobro za sve nas koji koristimo barem jedan od gore navedenih servisa. Ali paradoksalno, sve veće korištenje SSL-a ima i drugu stranu medalje: sigurnosne kontrole na internet gateway-u koje se obično provode u organizacijama - antivirus, IPS, web reputacija, pa čak i Data Loss Prevention (DLP), potpuno su onemogućene ukoliko se koristi kriptiranje SSL-om.

Npr. Facebook je danas direktno ili indirektno jedan od glavnih izvora malware-a, a sigurnosni incident je često udaljen samo jedan klik u web pregledniku.
Ukoliko zaposlenik koristi HTTPS na Facebooku, gateway rješenje neće moći detektirati nikakvu prijetnju na koju će korisnik naići, niti će moći odraditi adekvatne kontrole po aplikaciji (npr. prioritiziranje samo određenog Facebook prometa, ali ne i Facebook igrica).

Stoga ne čudi da je danas tržište preplavljeno rješenjima (UTM firewall, itd.) koja na papiru nude SSL dekripciju odnosno intercepciju prometa. No u realnosti se ova funkcionalnost rijetko implementira jer je transparentna dekripcija prometa u realnom vremenu izazov, pogotovo kada promet naraste: a cilj jest zadržavanje jednakih performansi i integracija u postojeću infrastrukturu (PKI i Active Directory), uz granularnu i detaljnu konfiguraciju uvjeta kada se promet uistinu dekriptira.

Trend SSL-izacije on-line servisa svakako povećava sigurnost nas korisnika, no istovremeno smanjuje mogućnost sigurnosnog filtriranja prometa na mreži (npr. antimalware), a sigurnosno filtriranje je također u interesu korisnika, ali i organizacije/tvrtke koja omogućava taj promet. Tehnologija nam omogućava da pomirimo ove naoko suprotne težnje. Kontaktirajte nas i saznajte kako.