Varování před špatnými certifikáty? Nefungují, tvrdí vědci

Tato varování nám říkají něco ve stylu „S bezpečnostním certifikátem této stránky není všechno tak úplně v pořádku". Pokud jste jako většina lidí, je zde poměrně vysoká pravděpodobnost, že varování budete zkrátka ignorovat. Vyplývá to z nového průzkumu vědců na Carnegie Mellon University.

Během laboratorního výzkumu vědci došli k závěru, že 55 - 100 % testovacích subjektů ignorovalo varování o neplatném či špatně zabezpečeném certifikátu. Čísla se lišila v závislosti na aktuálně používaném webovém prohlížeči - každý totiž k varování využívá jiných hlášek.

„Již dlouho se ví, že tahle varování jsou problém. Naše studie jen podtrhla závažnost tohoto problému," konstatoval jeden z autorů studie, postgraduální student Joshua Sunshine.

To samozřejmě nevěští nic dobrého. Na tato varování často narazíme kvůli technickému problému na daném webu, mohou však také znamenat, že budeme nějakým způsobem přesměrováni na falešnou webovou stránku. URL bezpečných stránek by ovšem mělo vždy začínat řetězcem HTTPS.

Vědci nejprve uveřejnili on-line dotazník, v němž na téma neplatných a nezabezpečených certifikátů zpovídali více než 400 uživatelů internetu. Poté do laboratoře přivedli 100 lidí a zkoumali, jakým způsobem brouzdali po internetu.

Zjistili při tom, že lidé varováním o nedostatečných certifikátech rozumějí různě. Někteří se například domnívají, že mohou tato varování ignorovat, pokud se chystají přejít na stránku, které věří. Podle nich je obezřetnost na místě pouze, pokud jsou varováni před vstupem na stránku, o níž mají jisté pochybnosti.

„Realita je ovšem trochu jinde. Tato varování ověřují, že skutečně najíždíte na stránku, na kterou chcete. Nikoli, jestli lze danému webu důvěřovat," podotýká Sunshine.

Pokud se varování zobrazuje, řekněme na stránce internetového bankovnictví, jde o velmi špatné znamení. To je něco, čím se dříve „pyšnilo" i naše ČSOB, a může to znamenat, že se při pokusu o přihlášení stanete obětí tzv. útoku man-in-the-middle. U tohoto typu útoku se útočník dostane mezi navštěvovanou webovou stránku a uživatele, a pokouší se zcizit jeho přihlašovací údaje a další citlivé informace.

„Bezpečnostní experti již dlouho vědí, že jsou bezpečnostní varování na téma neplatných certifikátů neefektivní. Hlavním důvodem je, že uživatelé neznají bezpečnostní rizika plynoucí z ignorace těchto virtuálních zdvižených ukazováčků. Proto je zkrátka ignorují," tvrdí CTO společnosti White Hat Security, Jeremiah Grossmann.

V internetovém prohlížeči Firefox 3 se Mozilla snaží užívat jednoduššího jazyku a trefnějších varování před špatnými certifikáty. Ve Firefoxu 3 je rovněž obtížnější (více kliknutí) varování ignorovat. To se potvrdilo i během laboratorního testu, kdy varování v tomto browseru odradilo nejvíce uživatelů od návštěvy potenciálně nebezpečných stránek.

Vědci ovšem zkoušeli také několik vlastních bezpečnostních varování, která byla ještě efektivnější. Sví zjištění proto hodlají prezentovat příští měsíc, 14. srpna na konferenci Usenix Security Symposium v kanadském Montrealu.

Sunshine se přesto domnívá, že efektivita textových varování je omezená. Podle něj by prohlížeče měly být schopny samy analyzovat chybová hlášení. A pokud analýzou dospějí k tomu, že při návštěvě stránky je vysoká pravděpodobnost útoku, měly by v ní uživatelům samy automaticky zabránit.