การวิเคราะห์ปัญหาการทำงานผิดพลาดของกลไกเอชเอสทีเอสและการจู่โจมด้วยการเปลือยเอสเอสแอล
Problem Analysis of HSTS Malfunction and SSL Stripping Attack
Abstract
การโจมตีด้วยการเปลือยเอสเอสแอลเป็นหนึ่งในเทคนิคที่รู้จักกันอย่างแพร่หลาย เพื่อโจมตีเว็บไซต์ที่ใช้เอชทีทีพีเอส ดังนั้นกลไกเอชเอสทีเอสจึงได้ถูกนำเสนอและใช้งานเพื่อสยบการโจมตีดังกล่าว แต่อย่างไรก็ตามจากการศึกษาเมื่อไม่นานมานี้หลายงาน ได้แสดงให้ว่าการโจมตีด้วยการเปลือยเอสเอสแอลเดิมสามารถนำมาใช้โจมตีระบบธนาคารออนไลน์ และเว็บอีคอมเมิร์ซได้ผลอีกครั้งแม้มีการตั้งค่าเอชเอสทีเอสแล้วก็ตาม ดังนั้นงานวิจัยนี้จึงทำการตรวจสอบและวิเคราะห์หาเหตุผลเบื้องหลังการทำงานล้มเหลวของกลไกเอชเอสทีเอส และการกลับมาโจมตีได้ใหม่ของการโจมตี ด้วยการเปลือยเอสเอสแอล เพื่อวิเคราะห์ปัญหาได้ทำการทดลองบนเครือข่ายเพื่อการทดสอบต่อเว็บธนาคารออนไลน์ของไทย 11 ธนาคาร ระบบเว็บอีคอมเมิร์ซ 4 เว็บ และเว็บอาสาสมัครอีก 2 เว็บ และยังมีการวิเคราะห์เอชทีทีพีเรสพอนซีพเฮดเดอร์ และวิเคราะห์สคริปต์ที่แฮกเกอร์ใช้ในการจู่โจม ในที่สุด สาเหตุของปัญหาก็ได้รับการวิเคราะห์และแนวทางในแก้ปัญหาได้ถูกเสนอแนะ
SSL stripping attack was one of the most notorious techniques to hack HTTPS websites. So, HTTP Strict Transport Security (HSTS) mechanism had been proposed and deployed to subdue the attack. However, a few recent studies have shown that the old SSL stripping attack could be deployed to effectively attack several on-line banking and e-commerce web sites again even with HSTS configuration. Hence, this paper investigates and analyzes reasons behind the malfunction of HSTS and the return of SSL stripping attacks. To analyze the problem, testbed experiments on 11 Thai online banking, 4 e-commerce websites and 2 volunteer websites, an analysis of HTTP response headers and hacker’s scripts are done. The cause of problems has finally been analyzed and the solutions are suggested.
Keywords
[1] E. Rescorla. (2000). HTTP Over TLS. [Online]. Available: https://www.rfc-editor.org/info/rfc2818/
[2] E. Rescorla. (2018). The Transport Layer Security (TLS) Protocol Version 1.3. [Online]. Available: https://www.rfc-editor.org/info/- rfc8446/
[3] C. Adams and S. Lloyd, Understanding PKI: Concepts Standards and Deployment Con Siderations, Addison Wesley, 2002, pp. 11–15.
[4] M. Marlingspike. (2009, August). New Tricks for Defeating SSL in Practice. Black Hat, USA. [online]. Available: https://www.blackhat.com /presentations/bh-dc-09/Marlinspike/BlackHat- DC-09-Marlinspike-Defeating-SSL.pdf
[5] A. Fung and K. Cheung, “SSLock: Sustaining the trust on entities brought by SSL,” in Proceedings of the ACM Symposium on Information, 2010, pp. 204–213.
[6] N. Nikiforakis, Y. Younan, and W. Joosen, “HProxy: Client-side detection of SSL stripping attack,” in Proceedings of International Conference on Detection of Intrusions, 2010, pp. 200–218.
[7] A. P. H. Fung and K. W. Cheung, “HTTPSLock: Enforcing HTTPS in unmodified browsers with cached Javascript,” in Proceedings of Fourth International Conference on Network and System Security, 2010, pp. 269–274.
[8] S. Puangpronpitag and N. Sriwiboon, “Simple and lightweight HTTPS enforcement to protect against SSL striping attack,” in Proceedings of International Conference on Computational Intelligence, Communication Systems and Networks, Phuket, Thailand, 2012, pp. 229–234.
[9] S. Puangpronpitag and A. Tooltham “Experimental evaluation of SSL stripping attack solutions,” Information Technology Journal, vol. 10, no. 1, pp. 37–47, 2014 (in Thai).
[10] A. Tooltham and S. Puangpronpitag, “Click2- Enforce: A browser extension to protect against SSL stripping attacks,” Information Technology Journal, vol. 9, no. 2, pp. 7–13, 2013 (in Thai).
[11] J. Hodges, C. Jackson, and A. Barth. (2012). HTTP Strict Transport Security (HSTS). [Online]. Available: https://datatracker.ietf.org/doc/ html/rfc6797/
[12] S. Puangpronpitag, “Surveys of e-banking web security,” Information Security & Advanced Network Research Group, Tech. Rep. 2019- 1005, Oct. 2019.
[13] W. Jacqueem. (2021, January). Force HSTS Using htaccess. InMotion Hosting, Virginia Beach. [Online]. Available: https://www.in-motionhosting.com/ support/website/force-hsts-using-htaccess/
[14] T. Griffin. (2020, December). How to Enable HTTP Strict Transport Security (HSTS) in WordPress, Griffin Media LLC, United States. [Online]. Available: https://thomasgriffin.com/enablehttp- strict-transport-security-hsts-wordpress/
[15] Bettercap. (2019). bettercap Version 2.26.1. [Online]. Available: https://bettercap.org [16] Google Inc. (2020). Chromium HSTS. [Online]. Available: https://hstspreload.org/ [17] RainbowCrack Project. (2020). RainbowCrack. [Online]. Available: http://project-rainbowcrack .com/
DOI: 10.14416/j.kmutnb.2021.07.007
ISSN: 2985-2145