הפרת אמון של רשות האישורים חושפת פגיעות בהיררכיות האמון של האינטרנט

הפרת אמון של רשות האישורים חושפת פגיעות בהיררכיות האמון של האינטרנט

בסוף מרץ 2015 אירעה הפרת אבטחה משמעותית שכללה תעודות דיגיטליות לא מורשות שהתחזות לגוגל. לאירוע זה השלכות מרחיקות לכת על האופן בו אנשים רגילים מחליטים על מי לסמוך באינטרנט.

בפוסט זה, ננסה להסביר מדוע זה חשוב למשתמשי קצה כמוך.

מה שקרה, על קצה המזלג

גוגל זיהתה זיופים באיכות גבוהה של אישורי SSL לדומיינים של גוגל. הזיופים היו כה טובים עד שהם יכלו להערים על מרבית הדפדפנים, ואולי לאפשר לתוקף להתחזות לגוגל ולתחומים אחרים, ועלולים אף להערים על המשתמשים לחשוף את הסיסמאות שלהם. למרבה המזל, הזיופים היו קיימים רק בסביבת מבחן סגורה.

הנפקת תעודות דיגיטליות מזויפות כאלה - אפילו בסביבת בדיקה - אמורה להיות כמעט בלתי אפשרית, בזכות התהליכים הקפדניים שקיימים כדי לאמת את זהותם של בעלי התעודות. העובדה שזה קרה היא אפוא עניין גדול מאוד, וזה אומר שזה יכול לקרות שוב, וכנראה שזה קרה בעבר גם עבור ארגונים אחרים, אך לא הבחינו בכך..

גוגל מגיבה בעדכון דפדפן Google Chrome שלה כדי לא לסמוך יותר על רשות האישורים הספציפית המעורבת (המכונה CNNIC); זה מסיר את תעודות הבסיס של CNNIC ממוצריה. מוזילה (יוצר פיירפוקס) לא אמון על כל אישורי ה- CNNIC החדשים עד לפנייה מחדש המוצלחת של CNNIC לצורך הכללה בחנות השורשים שלה..

רענון: הנה מה שקורה כשאתה מבקר באתר עם אישור SSL תקף

זה יעזור להבנה ברמה גבוהה של מה שקורה כשאנחנו ניגשים לאתר באמצעות https והדפדפן שלנו מראה לנו סימן ביקורת ירוק או מנעול האומר שהאתר הזה מאובטח.

  1. אתה מקליד את https://www.google.com בדפדפן האינטרנט שלך.
  2. דפדפן האינטרנט שלך ניגש לספרייה ציבורית בשם DNS כדי לחפש באיזו כתובת IP היא צריכה להשתמש כדי ליצור קשר עם google.com.
  3. דפדפן האינטרנט שלך יוצר קשר עם השרת בכתובת ה- IP שקיבלה מ- DNS.
  4. השרת מגיב בתעודת SSL.
  5. דפדפן האינטרנט שלך משתמש בתעודת SSL זו כדי להשיג שני דברים חשובים מאוד:
    1. זה מאשר את זהות השרת. במקרה זה, הוא מאשר כי השרת באמת מנוהל על ידי גוגל; ו
    2. זה מגדיר ערוץ תקשורת מוצפן, כך שהנתונים שנשלחים בין הדפדפן לשרת מוצפנים. מי שמאזין ברשת יכול לראות שאתה מתקשר עם גוגל, אך לא יכול להסתכל בתוכן התקשורת שלך.

אם אישור ה- SSL תקף, הדפדפן שלך יציג את סימן הביקורת הירוק המוכר או הנעילה בסרגל הכתובות.

אהה, המנעול הירוק.אהה, המנעול הירוק.

עם זאת, אם תוקף הצליח להערים על הדפדפן שלי ליצור קשר עם שרת מזויף, הדפדפן שלך יבחין כי אישור ה- SSL הוא לא חוקי, וזה יראה לך אזהרת אבטחה.

הנה מה שקורה כאשר אישור ה- SSL הוא זיוף באיכות גבוהה (רמז: הדפדפן שלך לא שם לב)

זו הסיבה שההכרזה מגוגל חשובה כל כך: MCI Holdings הצליחה ליצור תעודות SSL מזויפות עבור גוגל שהיו כה מציאותיות עד שיכולו להערים על רוב דפדפני האינטרנט לחשוב שאתר בשרת מזויף הוא למעשה גוגל. באופן אידיאלי זה לא אמור לקרות. אבל כשזה קורה, כך זה היה נראה:

  1. אתה מקליד את הדפדפן https://www.google.com.
  2. תוקף מכניס את שרת ה- DNS שלך כדי לספק לך כתובת IP שגויה עבור google.com. הם יכולים לעשות זאת על ידי ניצול באגים בנתב הביתי שלך, נתבים אחרים ברשת, באגים בשרת ה- DNS עצמו (לרוב מנוהלים על ידי ספק שירותי האינטרנט שלך), או דרכים שונות אחרות.
  3. דפדפן האינטרנט שלך יוצר קשר עם השרת המזויף.
  4. השרת המזויף מגיב בתעודת SSL מזויפת. עם זאת, האישור הוא זיוף כה איכותי עד שהדפדפן שלך חושב שהוא תקף.
  5. הדפדפן שלך יציג את סימן הביקורת הירוק או הנעילה בסרגל הכתובות.
    1. כאשר אישור ה- SSL הוא זיוף באיכות גבוהה ובלתי ניתן לזיהוי, אתה והדפדפן שלך יחשבו שהוא למעשה GMail ...כאשר אישור ה- SSL הוא זיוף באיכות גבוהה ובלתי ניתן לזיהוי, אתה והדפדפן שלך יחשבו שהוא למעשה GMail ...
  6. אתה מקליד את שם המשתמש והסיסמה שלך ב- Google לשכפל באיכות גבוהה של GMail ובכך שולח אותם לתוקף, שכעת מקבל שליטה על כל נתוני Google שלך ​​כולל הדוא"ל שלך, המסמכים, התמונות, אנשי הקשר וכל דבר אחר שקשור לחשבון Google שלך..

כיצד דפדפני האינטרנט מחליטים אם אישור SSL תקף, בכל מקרה?

כל מערכת הפעלה, סמארטפון ודפדפן אינטרנט מותקנים מראש עם רשימה של כמה עשרות חברות או ממשלות שעל חתימותיהן הדיגיטליות אמון באופן אוטומטי, אלא אם כן נקבע אחרת (עוד על כך בהמשך). חברות מהימנות אלה נקראות רשויות אישורים, או חברות רשות התאגיד, ועליהן לעמוד בקריטריונים מפורטות כדי להיות חלק מאותה רשימה.

שורשי מערכת גישה למחזיקי מפתחותאתה יכול לגשת לזה על ידי מעבר אל Spotlight > גישה למחזיקי מפתחות > שורשי מערכת.

אם אתר אינטרנט מציג אישור שנחתם על ידי אחת מרשויות האישורים המהימנות הללו, דפדפני האינטרנט יפרשו את זה כ"אני רואה את החתימה של רשות האישורים הזו שאני מוגדר מראש לסמוך עליה. הוא חתם על האישור של שרת זה. פירוש הדבר שהוא אימת את האנשים שמאחורי השרת הזה ואישר שהם באמת מי שהם טוענים שהם. לכן, אני אמון גם בתעודה זו ואציג את סימן הביקורת הירוק או הנעילה למשתמש שלי. "

זה עוזר לחשוב על רשויות תעודה כמקבילות לגופים המהימנים המרכזיים המוציאים תעודות זהות כמו דרכונים. כשאתה מגיש בקשה לדרכון אתה צריך להביא מסמכים תומכים כמו תעודת הלידה שלך, רישיון הנהיגה שלך ותצלום, וכנראה שאתה צריך לעשות זאת באופן אישי כדי שיוכלו לאמת שאתה האדם שבתמונה שלך. כשאתה נוסע אתה משתמש בדרכון שלך כמסמך זהות שלך. ממשלות, מלונות וחברות תעופה בוטחות בכך שאתה האדם שהדרכון שלך מאשר לך.

אתה יכול לחשוב על רשות אישורים כמקבילה למשרד שמנפיק דרכון, ואתה יכול לחשוב על תעודה דיגיטלית כמעין דרכון, או תעודת זהות, לאתר. דרכונים קשים (אידיאלי) לזייף, ויש להם תאריכי תפוגה. באותו אופן, תעודות דיגיטליות צריכות להיות (אידיאליות) קשות לזייף, ויש להן גם תאריכי תפוגה. לאחר תאריכי התפוגה, הדרכונים והתעודות הדיגיטליות הופכים לא חוקיים.

איננו יכולים לקחת את מי שהדפדפנים והמחשבים שלנו בוטחים כמובן מאליו

יתכן שאתה מכיר כמה מרשויות האישורים שהמחשב שלך מוגדר אוטומטית מראש לסמוך עליהם, כמו Symantec ו- GoDaddy. אך האם ידעת שמערכת ההפעלה או הדפדפן שלך כוללים ככל הנראה אישורי שורש לארגונים רחוקים כמו משרד הדואר בהונג קונג, ארגון מהולנד בשם Staat der Nederlanden Root CA, וממשלות שונות ברחבי העולם? (אם אתה סקרן, הנה רשימת הארגונים האמינים על ידי Firefox).

הסיכון הוא מה שקורה כאשר אחת מאותן רשויות תעודה חותמת על א מזויף תעודה מתחזה באמצעות רשלנות (וזה מה שנראה שקרה עם ה- CNNIC / MCS Holdings / גוגל), או אולי אפילו בזדון.

האם הגיע הזמן לשקול מחדש את מי שאנחנו סומכים עליו באינטרנט?

האמון באינטרנט זורם באופן חולף. אנו סומכים על מפתחי מערכות ההפעלה ודפדפני האינטרנט שלנו; אנו סומכים על חברות כמו גוגל המטפלות בנתונים שלנו באינטרנט; ואנחנו סומכים על כמה רשויות אישורים כדי לאמת בזהירות את זהותם של אתרים שונים ולהנפיק תעודות SSL בלבד לבעליהם החוקיים.

המקרה של האישורים המזויפים של גוגל מדגיש את החשיבות שבבדיקה באילו רשויות אישורים אנו באמת זקוקים לדפדפנים שלנו כדי לסמוך עליהם. תלוי באתרי האינטרנט שבהם אתה מבקר בדרך כלל, מערך רשויות האישורים שאתה סומך עליהם עשוי להיות קטן בהרבה מהערכה שאמינה מראש במחשב שלך..

הנה מה שאתה יכול לעשות בקשר לזה:

  1. שקול להשבית כמה מתעודות השורש שהוגדרו מראש במחשב שלך. לדוגמה, אם אינך גולש בדרך כלל באתרים בהולנד, ככל הנראה יהיה חכם לבטל את הרשות הנקראת "ממשלת הולנד, PKIoverheid", שסביר להניח כי הדפדפן שלך אמון כרגע. אנו מציעים גם להשבית את תעודת הבסיס של CNNIC.
  2. שקול להפוך את Chrome לדפדפן ברירת המחדל שלך, מכיוון של- Google יש תיעוד של ערנות ותגובה מיידית להפרות אמון.
  3. עקוב אחר פרויקטים כמו פרויקט שקיפות האישורים של גוגל, היוצר פיתרון טכני להבחנה במהירות רבה יותר בתעודות מזויפות. במהלך החודשים והשנים הקרובים, פרויקטים כאלה ייצרו תוספים ושיפורים לדפדפנים ומערכות הפעלה כדי לפתור חלק מהבעיות הללו, אך פתרונות אלה אינם זמינים במלואם כיום..
  4. בינתיים, זכור להשתמש ב- VPN. זה מגן עליך מכמה מהדרכים האפשריות בהן תוקף יכול לנסות להשתמש בתעודת SSL מזויפת עליך. לדוגמה, ה- VPN מקשה על התוקף להתמודד עם תוצאות ה- DNS שלך.

לקריאה נוספת:

מהן רשויות אישורים & היררכיות אמון? | GlobalSign
פרויקט שקיפות האישורים של גוגל

הפרת אמון של רשות האישורים חושפת פגיעות בהיררכיות האמון של האינטרנט
admin Author
Sorry! The Author has not filled his profile.