Защита iOS от атак aLTEr из-за дефекта в беспроводной высокоскоростной передачи данных

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд. УРА! (No Ratings Yet)
Загрузка...

Новая атака aLTEr может использоваться практически для всех конечных точек, связанных с LTE, путем перехвата трафика и перенаправления на вредоносные веб-сайты. В этой статье кратко описывается, как работает атака, и предлагает способы защитить себя от нее, включая конкретный подход для устройств Apple iOS.

Чтобы перевести сайт на зашифрованный протокол HTTPS необходим SSL-сертификат. Раньше такой сертификат необходимо было подключать на каждый сайт (домен) . Теперь мы предлагаем более удобное и выгодное решение, называемое мультидоменный сертификат SSLl (SAN). Они могут подключаться к группе доменов, поддоменов и даже сразу на целый сервер с десятками сайтов.

Исследователи из Рурского университета, Бохума и Нью-Йооркского университета обнаружили новую атаку на устройства, использующие сетевой протокол Long-Term Evolution (LTE). LTE, который является формой 4G, представляет собой стандарт мобильной связи, используемый миллиардами устройств и крупнейшими сотовыми операторами по всему миру. Другими словами, атака может быть использована против вас.

Исследовательская группа назвала атаку «aLTEr», и она позволяет злоумышленнику перехватывать сообщения с использованием техники «человек в середине» и перенаправлять жертву на вредоносные веб-сайты с использованием подмены DNS.

Атака aLTEr

Эта атака работает, используя недостатки оболочки в сети LTE - уровень канала передачи данных (layer-2) сети LTE зашифрован с помощью AES-CTR, но он не защищен целостно, поэтому злоумышленник может изменить полезную нагрузку.

В результате атакующий выполняет классическую схему «человек в середине», где они создают оболочку, притворяясь реальным абонентом сети. Трафик от жертвы отправляется злоумышленнику, где он изменяется и перенаправляется в реальную сеть.

Эти типы атак не ограничиваются только сетями LTE. Сети 5G также могут быть уязвимы для этих атак в будущем - если они не внедрят защиту целостности.


Способ защиты

DNS основан на том, как работает Интернет; прежде чем какое-либо приложение подключится к его сервису, прежде чем какой-либо веб-браузер подключится к веб-сайту, перед отправкой любого сообщения электронной почты выполняется поиск DNS. Традиционный DNS разработан очень быстрым и не защищен.

Атаки подмены DNS можно предотвратить, добавив безопасность для самого DNS, используя шифрование и интеллектуальные политики для разрешения имен. Одним из примеров этого является реализация RFC 7858 или RFC 8310. Эти RFC ссылаются на использование DNS по безопасности транспортного уровня (TLS) и DNS по сравнению с Datagram TLS (DTLS).

DNS через TLS или DTLS будет защищать устройства от атаки aLTEr, обеспечивая шифрование трафика DNS, который включает защиту целостности. По умолчанию были опубликованы статьи о выпуске O Android (Oreo), позволяющие включить DNS через TLS. Это помогает, когда DNS-серверы, к которым подключается устройство, используют DNS через TLS; но, естественно, DNS-серверы получают назначение по сети, к которой подключено устройство. Служба DNS Cloudflare работает по DNS через HTTPS, но не так много клиентов могут использовать ее.

Из результатов тестирования, которые я видел, DNS подключаемый через TLS имеет слишком много накладных расходов и не хватает производительности, требуемой DNS. Вот почему DNS, по сравнению с DTLS, имеет больше смысла. Мы видели это с помощью «SSL VPN» (что является ошибочным, это фактически TLS VPN) и чувствительный к времени трафик для передачи по IP. Перенос VPN в DTLS вместо TLS повысил производительность и сделал VoIP с VPN действительно достижимым.

Другим возможным решением было бы использовать DNS через HTTPS, что вызывает интерес у многих людей, особенно тех, у кого могут быть злонамеренные цели, когда запросы DNS от самого приложения (скорее всего, клиент Tor или браузер) будут отправляться напрямую на DNS-сервер, используя связь HTTPS. Это в основном теоретическое на данном этапе, так как не многие службы позволяют DNS подключатся через HTTPS. Google DNS разрешает этот тип связи, как и сервис DNS Cloudflare. Тем не менее, не многие клиенты или приложения созданы, чтобы использовать услугу. Кроме того, поскольку HTTPS использует TLS.

Альтернативный вариант защиты соединение для iOS

Существует еще один, более старый вариант, который был успешно реализован уже довольно давно, известный как DNSCrypt. Cisco Umbrella (решение, ранее известное как OpenDNS) использует DNSCrypt для защиты DNS в течение многих лет.

В соответствии с этими принципами Apple и Cisco сотрудничают, чтобы обеспечить самый высокий уровень контроля для принадлежащих корпоративным iOS-устройствам с помощью Cisco Security Connector (CSC) для iOS.

CSC для iOS защищает пользователей от подключения к вредоносным сайтам, используя DNS в качестве плоскости управления. Защита осуществляется в корпоративной сети, на общедоступном Wi-Fi или в сотовой сети. CSC шифрует DNS-запросы и отправляет их в службу Umbrella Cisco для разрешения, что защищает вашу популяцию пользователей от подключения к гнусным веб-сайтам и предотвращает атаки на подмены DNS.

Оставить комментарий

Подтвердите, что Вы не бот — выберите человечка с поднятой рукой: