Kršitev zaupanja pooblaščenih organov potrjuje ranljivost internetnih hierarhij zaupanja

Kršitev zaupanja pooblaščenih organov potrjuje ranljivost internetnih hierarhij zaupanja

Konec marca 2015 je prišlo do večje kršitve varnosti, ki je vključevala nepooblaščeno digitalno potrdilo, ki se lažno predstavlja z Googlom. Ta incident ima daljnosežne posledice za to, kako se običajni ljudje odločajo, komu zaupati po internetu.

V tej objavi bomo poskušali razložiti, zakaj je to pomembno za končne uporabnike, kot ste vi.

Kar na kratko

Google je zaznal visokokakovostne ponaredke SSL certifikatov za Googlove domene. Ponarejene so bile tako dobre, da so lahko prevarile večino brskalnikov, morda napadalcu omogočile, da se lažno predstavlja kot Google in druge domene, kar lahko celo zavede uporabnike, da razkrijejo svoja gesla. K sreči so ponaredki obstajali le v zaprtem testnem okolju.

Izdajanje takšnih ponarejenih digitalnih potrdil - tudi v testnem okolju - naj bi bilo skoraj nemogoče zaradi strogih postopkov preverjanja identitete imetnikov certifikatov. Dejstvo, da se je to zgodilo, je zato zelo veliko, kar pomeni, da se lahko zgodi znova in da se je verjetno že prej zgodilo za druge organizacije, vendar je ostalo neopaženo.

Google se odziva s posodobitvijo svojega brskalnika Google Chrome, da ne bo več zaupal določenemu zadevnemu organu za potrdila (imenovanem CNNIC); odstranjuje korenske certifikate CNNIC iz svojih izdelkov. Mozilla (ustvarjalec Firefoxa) bo zaupala vsem novim CNNIC certifikatom, dokler CNNIC ne bo uspešno uporabil za vključitev v svojo korensko trgovino.

Osvežilec: Evo, kaj se zgodi, ko obiščete spletno mesto z veljavnim certifikatom SSL

Pomagalo vam bo razumeti, kaj se zgodi, ko obiščemo spletno mesto s pomočjo https-a in brskalnik nam pokaže zeleno kljukico ali ključavnico, ki pravi, da je to spletno mesto varno.

  1. V spletni brskalnik vtipkate https://www.google.com.
  2. Vaš spletni brskalnik dostopa do javnega imenika z imenom DNS in poišče, kateri naslov IP bi moral uporabiti za povezavo z google.com.
  3. Vaš spletni brskalnik stopi v stik s strežnikom na naslovu IP, ki ga je prejel od DNS.
  4. Strežnik se odzove s SSL certifikatom.
  5. Vaš spletni brskalnik uporablja to SSL potrdilo za dosego dveh zelo pomembnih stvari:
    1. Potrjuje identiteto strežnika. V tem primeru potrdi, da strežnik res upravlja Google; in
    2. Postavi šifriran komunikacijski kanal, tako da so podatki, poslani med brskalnikom in strežnikom, šifrirani. Kdor posluša v omrežju, lahko vidi, da komunicirate z Googlom, vendar ne more pogledati vsebine svoje komunikacije.

Če je potrdilo SSL veljavno, bo vaš brskalnik v naslovni vrstici prikazal znano zeleno kljukico ali ključavnico.

Ahh, zelena ključavnica.Ahh, zelena ključavnica.

Če pa je napadalec mojemu brskalniku uspel navezati stik s ponarejenim strežnikom, bo vaš brskalnik opazil, da je potrdilo SSL neveljavno, in prikaže se vam varnostno opozorilo.

Tukaj je, kaj se zgodi, ko je potrdilo SSL ponarejanje visoke kakovosti (namig: brskalnik ne bo opazil)

Tu je razlog, da je Googlova objava tako pomembna: MCI Holdings je uspel ustvariti ponarejene SSL certifikate za Google, ki so bili tako realistični, da bi lahko večino spletnih brskalnikov zvabili v misli, da je spletno mesto na lažnem strežniku pravzaprav Google. To se v idealnem primeru ne bi smelo nikoli zgoditi. Toda ko to stori, bi bilo videti tako:

  1. V svoj brskalnik vtipkate https://www.google.com.
  2. Napadalec vara vaš strežnik DNS, da vam nakaže napačen IP naslov za google.com. To bi lahko storili z izkoriščanjem napak na domačem usmerjevalniku, drugimi usmerjevalniki v omrežju, napakami na samem strežniku DNS (običajno jih vodi vaš ponudnik internetnih storitev) ali na različne druge načine.
  3. Vaš spletni brskalnik se obrne na lažni strežnik.
  4. Lažni strežnik se odzove z lažnim SSL certifikatom. Vendar je potrdilo tako kakovostno ponarejeno, da vaš brskalnik meni, da je veljaven.
  5. Vaš brskalnik bo v naslovni vrstici prikazal zeleno kljukico ali ključavnico.
    1. Ko je certifikat SSL visokokakovostna, neopazna ponarejanja, boste vi in ​​vaš brskalnik mislili, da gre dejansko za GMail ...Ko je certifikat SSL visokokakovostna, neopazna ponarejanja, boste vi in ​​vaš brskalnik mislili, da je to dejansko GMail ...
  6. Vtipkate svoje uporabniško ime in geslo za Google v visokokakovostni klon GMaila in ga tako pošljete napadalcu, ki zdaj dobi nadzor nad vsemi vašimi Googlovimi podatki, vključno z vašo e-pošto, dokumenti, fotografijami, stiki in vsem drugim, kar je povezano z vašim Google Računom.

Kako se spletni brskalniki vseeno odločijo, ali je SSL potrdilo sploh veljavno?

Vsak operacijski sistem, pametni telefon in spletni brskalnik ima vnaprej nameščen seznam nekaj ducat podjetij ali vlad, ki jim bodo digitalni podpisi samodejno zaupali, razen če so konfigurirani drugače (več o tem kasneje). Ta zaupanja vredna podjetja se imenujejo organi za potrjevanje ali certifikacijski organi in morajo izpolnjevati podrobna merila, da so lahko del tega seznama.

Korenine sistema za dostop do ključavnicDo tega lahko dostopate tako, da odprete Spotlight > Dostop ključavnice > Korenine sistema.

Če spletno mesto predstavlja potrdilo, ki ga je podpisal kateri koli od teh zaupanja vrednih potrditvenih organov, bodo spletni brskalniki to razlagali kot »vidim podpis tega organa za potrdila, ki sem ga predhodno konfiguriral za zaupanje. Podpisal je certifikat tega strežnika. To pomeni, da je preveril ljudi, ki stojijo za tem strežnikom, in potrdil, da so res takšni, za katere trdijo, da so. Zato bom zaupal tudi temu certifikatu in uporabniku pokazal zeleno kljukico ali ključavnico. "

Pomaga, da bi certifikacijski organi mislili, da so podobni centralnim organom, ki jim zaupajo, ki izdajajo osebne dokumente, kot so potni listi. Ko zaprosite za potni list, morate prinesti podporne dokumente, na primer rojstni list, vozniško dovoljenje in fotografijo, in verjetno boste to morali storiti tudi osebno, da bodo lahko preverili, ali ste oseba na fotografiji. Ko potujete, potni list uporabite kot osebni dokument. Vlade, hoteli in letalske družbe zaupajo, da ste oseba, za katero je potrjen vaš potni list.

Organ za potrdila si lahko predstavljate kot analogno uradu za izdajo potnih listov, digitalno potrdilo pa si lahko omislite kot neke vrste potni list ali osebni dokument za spletno mesto. Potne liste je (v idealnem primeru) težko ponarejati in imajo roke veljavnosti. Na enak način bi bilo treba digitalne certifikate (v idealnem primeru) težko ponarejati, prav tako pa imajo tudi roke veljavnosti. Po poteku datumov veljavnosti potni listi in digitalna potrdila postanejo neveljavni.

Komu naši brskalniki in računalniki ne moremo biti samoumevni

Morda ste seznanjeni z nekaterimi pooblastili za potrdila, da je vaš računalnik samodejno predhodno konfiguriran za zaupanje, na primer Symantec in GoDaddy. Toda ali ste vedeli, da vaš operacijski sistem ali brskalnik verjetno vključujejo korenska potrdila za daljne organizacije, kot je Hong Kong Post Office, Nizozemska organizacija, imenovana Staat der Nederlanden Root CA, in različne vlade po vsem svetu? (Če ste radovedni, tukaj je seznam organizacij, ki jim Firefox zaupa).

Tveganje je tisto, kar se zgodi, ko eden od teh certifikacijskih organov podpiše a kovani potrdilo imetnika osebe iz malomarnosti (kar se zdi, da se je zgodilo s CNNIC / MCS Holdings / Googlovim odklonom) ali morda celo zaradi zlobe.

Je čas, da ponovno razmislimo, komu zaupamo na internetu?

Zaupanje v internet teče prehodno. Zaupamo razvijalcem naših operacijskih sistemov in našim spletnim brskalnikom; zaupamo podjetjem, kot je Google, ki v internetu obdelujejo naše podatke; in več organom potrdil zaupamo, da skrbno preverjajo identiteto različnih spletnih mest in izdajajo potrdila SSL le svojim zakonitim lastnikom.

Primer ponarejenih Googlovih certifikatov poudarja, kako pomembno je preveriti, katere organe za potrdila resnično potrebujemo, da nam brskalniki zaupajo. Glede na to, katera spletna mesta običajno obiskujete, je nabor pooblastil za potrdila, na katere se dejansko zanašate, lahko veliko manjši od nabora, ki mu je v računalniku predhodno zaupano..

Takole lahko storite naslednje:

  1. Razmislite o onemogočanju nekaterih korenskih potrdil, ki so bila predhodno konfigurirana v vašem računalniku. Na primer, če na Nizozemskem običajno ne brskate po spletnih mestih, je verjetno pametno onemogočiti organ, imenovan „Vlada Nizozemske, PKIoverheid“, ki mu vaš brskalnik verjetno trenutno zaupa. Predlagamo tudi, da onemogočite korenski certifikat za CNNIC.
  2. Razmislite o tem, da bi Chrome postal vaš privzeti brskalnik, saj Google beleži, da je pozoren in se takoj odzove na zaupanje v kršitve.
  3. Sledite projektom, kot je Googlov projekt preglednosti certifikatov, ki ustvarja tehnično rešitev za hitrejše opažanje ponarejenih certifikatov. V prihodnjih mesecih in letih bodo takšni projekti ustvarili vtičnike in izboljšave brskalnikov in operacijskih sistemov za rešitev nekaterih od teh težav, vendar te rešitve danes niso v celoti na voljo..
  4. Medtem ne pozabite uporabiti VPN. Ščiti vas pred nekaterimi možnimi načini, s katerimi bi napadalec lahko na vas poskusil uporabiti ponarejeno SSL potrdilo. Na primer, zasebno omrežje VPN napadalcu precej težje posega v vaše DNS rezultate.

Nadaljnje branje:

Kaj so certifikacijski organi & Zaupne hierarhije? | GlobalSign
Googlov projekt preglednosti certifikatov

Kršitev zaupanja pooblaščenih organov potrjuje ranljivost internetnih hierarhij zaupanja
admin Author
Sorry! The Author has not filled his profile.