Porušenie dôvery v certifikačnú autoritu odhaľuje zraniteľnosť v hierarchiách dôveryhodnosti internetu

Porušenie dôvery v certifikačnú autoritu odhaľuje zraniteľnosť v hierarchiách dôveryhodnosti internetu

Koncom marca 2015 došlo k závažnému narušeniu bezpečnosti, ktoré sa týkalo neautorizovaných digitálnych certifikátov vydávajúcich sa za spoločnosť Google. Tento incident má ďalekosiahle dôsledky na to, ako sa bežní ľudia rozhodujú, komu dôverovať na internete.

V tomto príspevku sa pokúsime vysvetliť, prečo je to dôležité pre koncových používateľov, ako ste vy.

Čo sa stalo, v skratke

Google zistil falšovanie certifikátov SSL pre domény Google vysokej kvality. Podvody boli také dobré, že dokázali oklamať väčšinu prehľadávačov, čo by mohlo umožniť útočníkovi vydávať sa za spoločnosť Google a ďalšie domény, prípadne dokonca podvádzať používateľov, aby odhalili svoje heslá. Našťastie, falzifikáty existovali iba v uzavretom testovacom prostredí.

Vydávanie takýchto falošných digitálnych certifikátov - aj v testovacom prostredí - by malo byť takmer nemožné, a to vďaka prísnym procesom na overenie totožnosti držiteľov certifikátov. Skutočnosť, že sa to stalo, je preto veľmi veľká a znamená to, že sa to môže opakovať a že sa to pravdepodobne stalo už predtým pre iné organizácie, ale zostalo nepovšimnuté..

Spoločnosť Google reaguje aktualizáciou svojho prehliadača Google Chrome, aby už neverila konkrétnej zúčastnenej certifikačnej autorite (nazývanej CNNIC); odstraňuje z svojich produktov koreňové certifikáty CNNIC. Mozilla (tvorca prehliadača Firefox) bude nedôverovať všetkým novým certifikátom CNNIC, až kým CNNIC nebude úspešne znova prihlásený na zahrnutie do svojho koreňového úložiska..

Obnovovacie zariadenie: Toto sa stane, keď navštívite web s platným certifikátom SSL

Pomôže nám porozumieť tomu, čo sa stane, keď ideme na web pomocou protokolu https a náš prehliadač nám zobrazí zelenú značku začiarknutia alebo zámok, že táto stránka je bezpečná.

  1. Do svojho webového prehliadača napíšete https://www.google.com.
  2. Váš webový prehliadač pristupuje do verejného adresára s názvom DNS, aby zistil, ktorú IP adresu by mal použiť na kontaktovanie google.com.
  3. Váš webový prehľadávač kontaktuje server na IP adrese, ktorú dostal od DNS.
  4. Server odpovie certifikátom SSL.
  5. Váš webový prehliadač používa tento certifikát SSL na dosiahnutie dvoch veľmi dôležitých vecí:
    1. Potvrdzuje identitu servera. V takom prípade potvrdzuje, že server je skutočne spustený spoločnosťou Google; a
    2. Nastavuje šifrovaný komunikačný kanál, takže údaje odoslané medzi prehliadačom a serverom sú šifrované. Každý, kto počúva v sieti, môže vidieť, že komunikujete so spoločnosťou Google, ale nemôže sa pozrieť do obsahu vašej komunikácie.

Ak je certifikát SSL platný, prehliadač zobrazí na paneli s adresou známe zelené začiarknutie alebo zámok.

Ahh, zelený zámok.Ahh, zelený zámok.

Ak sa však útočníkovi podarí oklamať môj prehliadač, aby kontaktoval falošný server, váš prehliadač si všimne, že certifikát SSL je neplatný, a zobrazí sa vám bezpečnostné upozornenie.

Nasleduje postup, keď je certifikát SSL sfalšovaný vo vysokej kvalite (tip: váš prehliadač si toho nevšimne)

Preto je oznámenie spoločnosti Google také dôležité: spoločnosti MCI Holdings sa podarilo vytvoriť falošné certifikáty SSL pre spoločnosť Google, ktoré boli natoľko realistické, že dokázali prinútiť väčšinu webových prehliadačov, aby si mysleli, že webová stránka na falošnom serveri bola skutočne spoločnosťou Google. V ideálnom prípade by sa to nikdy nemalo stať. Ale keď to urobí, vyzerá to takto:

  1. Do prehliadača napíšete https://www.google.com.
  2. Útočník podvedie váš server DNS tak, aby vám poskytol nesprávnu adresu IP pre adresu google.com. Mohli by to urobiť tak, že využijú chyby vo svojom domácom smerovači, iné smerovače v sieti, chyby na samotnom serveri DNS (zvyčajne prevádzkujú poskytovateľom internetových služieb), alebo rôznymi inými spôsobmi..
  3. Váš webový prehliadač kontaktuje falošný server.
  4. Falošný server odpovie falošným certifikátom SSL. Certifikát je však taký kvalitný falošný, že si váš prehliadač myslí, že je platný.
  5. Prehliadač zobrazí na paneli s adresou zelené začiarknutie alebo zámok.
    1. Keď je certifikát SSL kvalitný a nezistiteľný falzifikát, vy a váš prehliadač si budete myslieť, že je to skutočne GMail ...Keď je certifikát SSL kvalitný a nezistiteľný falzifikát, vy a váš prehliadač si budete myslieť, že je to skutočne GMail…
  6. Svoje používateľské meno a heslo Google zadáte do vysoko kvalitného klonu GMail, čím ho pošlete útočníkovi, ktorý teraz získa kontrolu nad všetkými vašimi údajmi Google vrátane vášho e-mailu, dokumentov, fotografií, kontaktov a všetkého iného, ​​čo je spojené s vaším účtom Google..

Ako rozhodujú webové prehliadače, či je certifikát SSL platný??

Každý operačný systém, smartfón a webový prehľadávač sú predinštalované so zoznamom niekoľkých desiatok spoločností alebo vlád, ktorým digitálne podpisy automaticky dôverujú, pokiaľ nie je nakonfigurované inak (viac o tom neskôr). Tieto dôveryhodné spoločnosti sa nazývajú certifikačné autority alebo CA a musia spĺňať podrobné kritériá, aby sa stali súčasťou tohto zoznamu.

Koreňové prístupové systémové korenePrístup k tomu získate prejdením na bodové hodnotenie > Prístup na prívesok na kľúče > Systémové korene.

Ak webová stránka predstavuje certifikát podpísaný niektorou z týchto dôveryhodných certifikačných autorít, webové prehliadače ju interpretujú ako „Vidím podpis tejto certifikačnej autority, ktorej som predkonfigurovaný na dôveryhodnosť. Podpísala certifikát tohto servera. To znamená, že overil ľudí za týmto serverom a potvrdil, že v skutočnosti sú tým, o ktorom tvrdia, že sú. Preto aj tomuto certifikátu dôverujem a svojmu používateľovi ukážem zelenú značku začiarknutia alebo uzamknutie. “

Pomáha myslieť na certifikačné autority ako na analogické ústredným dôveryhodným orgánom, ktoré vydávajú doklady totožnosti, ako sú pasy. Ak žiadate o cestovný pas, musíte si priniesť sprievodné doklady, ako je rodný list, vodičský preukaz a fotografia, a pravdepodobne to musíte urobiť osobne, aby si mohli overiť, či ste osoba na vašej fotografii. Keď cestujete, pas používate ako doklad totožnosti. Vlády, hotely a letecké spoločnosti veria, že ste osobou, ktorú váš pas potvrdzuje.

Môžete si myslieť, že certifikačná autorita je analogická s úradom vydávajúcim cestovný pas, a digitálny certifikát si môžete predstaviť ako druh cestovného pasu alebo dokladu totožnosti pre webovú stránku. Pasy sa (v ideálnom prípade) ťažko falšujú a majú dátumy skončenia platnosti. Rovnakým spôsobom by sa digitálne certifikáty mali (v ideálnom prípade) ťažko vytvárať a mali by mať aj dátumy skončenia platnosti. Po dátume exspirácie sa platnosť pasov a digitálnych certifikátov stáva neplatnou.

Nemôžeme uznať, komu naše prehliadače a počítače dôverujú za samozrejmosť

Možno ste oboznámení s niektorými z certifikačných autorít, ktorým je váš počítač automaticky predkonfigurovaný na dôverovanie, napríklad Symantec a GoDaddy. Vedeli ste však, že váš operačný systém alebo prehľadávač pravdepodobne obsahuje koreňové certifikáty pre vzdialené organizácie, ako je Hongkongská pošta, holandská organizácia Staat der Nederlanden Root CA a rôzne vlády z celého sveta? (Ak vás zaujíma, tu je zoznam organizácií, ktorým Firefox dôveruje).

Riziko je to, čo sa stane, keď jeden z týchto certifikačných orgánov podpíše a kovaný certifikát od vydavateľa pre nedbanlivosť (čo sa zdá sa stalo s CNNIC / MCS Holdings / Google debakl) alebo prípadne dokonca zlovoľnosť.

Je čas prehodnotiť, komu dôverujeme na internete?

Dôvera na internete prechádza tranzitne. Dôverujeme vývojárom našich operačných systémov a našim webovým prehliadačom; dôverujeme spoločnostiam ako Google, ktoré spracúvajú naše údaje na internete; a veríme niekoľkým certifikačným autoritám, aby starostlivo overili totožnosť rôznych webových stránok a vydávali certifikáty SSL iba svojim legitímnym vlastníkom.

Prípad sfalšovaných certifikátov Google zdôrazňuje dôležitosť preskúmania toho, ktorým certifikačným orgánom skutočne potrebujeme, aby naše prehliadače dôverovali. V závislosti od toho, na ktorých webových stránkach zvyčajne navštevujete, môže byť sada certifikačných autorít, na ktoré sa skutočne spoliehate, oveľa menšia ako sada, ktorá je v počítači vopred dôveryhodná.

Tu môžete urobiť nasledujúce kroky:

  1. Zvážte zakázanie niektorých koreňových certifikátov, ktoré boli predkonfigurované v počítači. Napríklad, ak v Holandsku obvykle nechcete prehliadať webové stránky, pravdepodobne je múdre zakázať oprávnenie nazývané „Vláda Holandska, PKIoverheid“, ktoré je váš prehliadač pravdepodobne v súčasnosti dôveryhodný. Navrhujeme tiež zakázať koreňový certifikát pre CNNIC.
  2. Zvážte nastavenie prehliadača Chrome ako predvoleného prehliadača, pretože spoločnosť Google zaznamenala bdelosť a pohotovú reakciu na porušenie dôvery.
  3. Postupujte podľa projektov, ako je napríklad projekt Transparentnosť certifikátov spoločnosti Google, ktorý vytvára technické riešenie na rýchlejšie upozorňovanie falšovaných certifikátov. V nadchádzajúcich mesiacoch a rokoch takéto projekty vytvoria doplnky a vylepšenia prehliadačov a operačných systémov na vyriešenie niektorých z týchto problémov, tieto riešenia však dnes nie sú úplne dostupné..
  4. Medzitým nezabudnite použiť sieť VPN. Chráni vás pred niektorými z možných spôsobov, ako by sa na vás útočník mohol pokúsiť použiť sfalšovaný certifikát SSL. Napríklad VPN robí útočníkovi oveľa ťažšie manipulovať s výsledkami DNS.

Ďalšie čítanie:

Čo sú certifikačné autority & Hierarchia dôveryhodnosti? | GlobalSign
Projekt spoločnosti Google týkajúci sa transparentnosti certifikátov

Porušenie dôvery v certifikačnú autoritu odhaľuje zraniteľnosť v hierarchiách dôveryhodnosti internetu
admin Author
Sorry! The Author has not filled his profile.