Ostrzeżenia dotyczące certyfikatu bezpieczeństwa nie działają, naukowcy mówią

Każdy internauta widział je. Te ostrzeżenia o "nieważnym certyfikacie", które czasami pojawiają się, gdy próbujesz odwiedzić bezpieczną witrynę sieci Web.

Mówią takie rzeczy jak "Wystąpił problem z certyfikatem bezpieczeństwa tej witryny sieci Web". Jeśli jesteś jak większość ludzi, możesz czuć się niejasno i - zgodnie z nowym artykułem naukowców z Uniwersytetu Carnegie Mellon - istnieje duża szansa, że ​​zignorujesz ostrzeżenie i klikniesz mimo to.

W eksperyment laboratoryjny, naukowcy stwierdzili, że od 55% do 100% uczestników ignorowało ostrzeżenia o bezpieczeństwie certyfikatów, w zależności od używanej przeglądarki (różne przeglądarki używają innego języka do ostrzegania swoich użytkowników).

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z twój komputer z Windows]

"Wszyscy wiedzieli, że wystąpił problem z tymi ostrzeżeniami", powiedział Joshua Sunshine, absolwent Carnegie Mellon i jeden ze współautorów tego artykułu. "Nasze badanie dowiodło dramatycznie, jak duży jest problem."

To nie jest dobra wiadomość. Często pojawiają się ostrzeżenia z powodu problemów technicznych na stronie internetowej, ale mogą one również oznaczać, że internauta jest przekierowywany w jakiś sposób do fałszywej witryny sieci Web. Adresy URL bezpiecznych witryn internetowych zaczynają się od "https".

Naukowcy przeprowadzili ankietę online złożoną z ponad 400 internautów, aby dowiedzieć się, co sądzą o ostrzeżeniach o certyfikatach. Następnie zaprowadzili 100 osób do laboratorium i zbadali, w jaki sposób surfują po Internecie.

Okazało się, że ludzie często mieli mieszane pojęcie o ostrzeżeniach o certyfikatach. Na przykład wielu uważało, że mogą zignorować wiadomości podczas odwiedzania witryny, której ufają, ale powinni być bardziej ostrożni w mniej zaufanych witrynach.

"To rodzaj wstecznego zrozumienia, co oznaczają te wiadomości," powiedziała Sunshine. "Wiadomość potwierdza, że ​​odwiedzasz witrynę, którą odwiedzasz, a nie, że witryna jest godna zaufania."

Jeśli strona internetowa banku pokazuje komunikat, że jego certyfikat bezpieczeństwa jest nieważny, jest to bardzo zły znak, mówią eksperci od bezpieczeństwa. Może to oznaczać, że internauta jest poddawany tak zwanemu atakowi "człowiek w środku". W tym typie ataku przestępca wstawia się między internautę a stronę, którą odwiedza, w nadziei na kradzież informacji.

Eksperci od bezpieczeństwa od dawna wiedzą, że te ostrzeżenia o bezpieczeństwie są nieskuteczne, powiedział Jeremiah Grossman, dyrektor ds. Technologii w Doradztwo w zakresie bezpieczeństwa sieci White Hat Security. Dzieje się tak dlatego, że użytkownicy "naprawdę nie wiedzą, co oznacza zagrożenie bezpieczeństwa", powiedział za pośrednictwem wiadomości błyskawicznej. "Biorą więc hazard".

W przeglądarce Firefox 3, Mozilla próbowała użyć prostszego języka i lepszych ostrzeżeń dotyczących złych certyfikatów. Przeglądarka utrudnia ignorowanie ostrzeżenia o złym certyfikacie. W laboratorium Carnegie Mellon użytkownicy Firefoksa 3 najprawdopodobniej nie kliknęli po ostrzeżeniu.

Naukowcy eksperymentowali z kilkoma przeprojektowanymi ostrzeżeniami bezpieczeństwa, które sami napisali, co okazało się jeszcze skuteczniejsze. Planują zgłosić swoje odkrycie 14 sierpnia na Sympozjum Bezpieczeństwa Usenix w Montrealu.

Sunshine wierzy, że lepsze ostrzeżenia pomogą tylko tak bardzo. Zamiast ostrzeżeń przeglądarki powinny korzystać z systemów, które mogą analizować komunikaty o błędach. "Jeśli te systemy zdecydują, że może to być atak, powinny po prostu całkowicie zablokować użytkownika", powiedział.

Nawet podczas odwiedzania ważnych stron internetowych, takich jak banki, "ludzie wciąż dramatycznie ignorują ostrzeżenia", powiedział.