Povreda povjerenja nadležnih za certifikate otkriva ranjivost u internetskim hijerarhijama povjerenja

Povreda povjerenja nadležnih za certifikate otkriva ranjivost u internetskim hijerarhijama povjerenja

Krajem ožujka 2015. došlo je do velikog narušavanja sigurnosti koji je uključivao neovlaštene digitalne potvrde kojima se lažno predstavlja Google. Ovaj incident ima dalekosežne posljedice za to kako obični ljudi odlučuju kome vjerovati na Internetu.

U ovom ćemo postu pokušati objasniti zašto je to krajnjim korisnicima poput vas važno.

Što se dogodilo

Google je otkrio krivotvorenje visokokvalitetnih SSL certifikata za Googleove domene. Krivotvorine su bile toliko dobre da su mogle prevariti većinu preglednika, možda ostavljajući napadača da se lažno predstavlja kao Google i druge domene, pa čak i možda prevario korisnike da otkriju svoje lozinke. Srećom, krivotvorine su postojale samo u zatvorenom testnom okruženju.

Izdavanje takvih lažnih digitalnih certifikata - čak i u okruženju za testiranje - trebalo bi biti gotovo nemoguće, zahvaljujući rigoroznim postupcima koji se primjenjuju za provjeru identiteta vlasnika certifikata. Činjenica da se to dogodilo stoga je vrlo velika stvar, što znači da se može ponoviti i da se vjerojatno i prije dogodilo za druge organizacije, ali prošla je nezapaženo.

Google reagira ažuriranjem preglednika Google Chrome kako više ne vjeruje određenom tijelu certifikata (koji se zove CNNIC); uklanja CNNIC-ove korijenske certifikate iz svojih proizvoda. Mozilla (kreator Firefox-a) nepovjerit će svim novim CNNIC certifikatima sve dok CNNIC-u ne bude uspješna ponovna primjena za uključivanje u korijensku trgovinu.

Osvježivač: Evo što se događa kada posjetite web mjesto s važećim SSL certifikatom

Pomoći će razumijevanje što se događa na visokoj razini o tome što se događa kada idemo na web mjesto putem https-a, a naš preglednik pokazuje nam zelenu kvačicu ili bravu koja kaže da je web mjesto sigurno.

  1. U web preglednik upišete https://www.google.com.
  2. Vaš web preglednik pristupa javnom direktoriju zvanom DNS kako bi pronašao IP adresu koju treba koristiti za kontaktiranje google.com.
  3. Vaš web preglednik kontaktira poslužitelj na IP adresi koju je dobio od DNS-a.
  4. Poslužitelj odgovara SSL certifikatom.
  5. Vaš web preglednik koristi ovaj SSL certifikat za postizanje dvije vrlo važne stvari:
    1. Potvrđuje identitet poslužitelja. U ovom slučaju potvrđuje da Googleov poslužitelj stvarno upravlja; i
    2. Postavlja šifrirani komunikacijski kanal tako da se podaci poslani između preglednika i poslužitelja kriptiraju. Tko sluša na mreži, može vidjeti da komunicirate s Googleom, ali ne može pogledati sadržaj vaše komunikacije.

Ako je SSL certifikat važeći, vaš će preglednik na adresnoj traci prikazati poznatu zelenu kvačicu ili zaključavanje.

Ah, zelena brava.Ah, zelena brava.

Međutim, ako je napadač uspio navesti moj preglednik da kontaktira lažni poslužitelj, vaš će preglednik primijetiti da je SSL certifikat nevažeći, i prikazat će vam sigurnosno upozorenje.

Evo što se događa kada je SSL certifikat krivotvorenje visoke kvalitete (savjet: vaš preglednik neće primijetiti)

Evo zašto je Googleova najava toliko važna: MCI Holdings uspio je stvoriti lažne SSL certifikate za Google koji su toliko realistični da bi mogli zavesti većinu web preglednika u pomisli da je web mjesto na lažnom poslužitelju zapravo Google. To se idealno ne bi nikada trebalo dogoditi. Ali kad to učinite, izgledalo bi ovako:

  1. Utipkate https://www.google.com u svoj preglednik.
  2. Napadač vara DNS poslužitelj dajući vam pogrešnu IP adresu za google.com. To bi mogli učiniti iskorištavanjem grešaka na vašem kućnom usmjerivaču, drugim usmjerivačima u mreži, bugova na samom DNS poslužitelju (obično ih izvodi vaš ISP) ili na razne druge načine.
  3. Vaš web preglednik kontaktira s lažnim poslužiteljem.
  4. Lažni poslužitelj odgovara lažnim SSL certifikatom. Međutim, certifikat je tako visokokvalitetni lažni da vaš preglednik smatra da je valjan.
  5. Vaš preglednik pokazat će zelenu kvačicu ili zaključavanje u adresnoj traci.
    1. Kad je SSL certifikat visokokvalitetnog, neostvarivog krivotvorenja, vi i vaš preglednik pomislit ćete da je to zapravo GMail ...Kad je SSL certifikat visokokvalitetnog, neostvarivog krivotvorenja, vi i vaš preglednik smatrat ćete da je to zapravo GMail…
  6. Utipkavate svoje korisničko ime i lozinku za Google u visokokvalitetni klon GMaila i tako ga šaljete napadaču koji sada ima kontrolu nad svim vašim podacima na Googleu, uključujući vašu e-poštu, dokumente, fotografije, kontakte i sve ostalo vezano za vaš Google račun.

Kako web preglednici ionako odlučuju je li SSL certifikat važeći?

Svaki operativni sustav, pametni telefon i web preglednik unaprijed se instaliraju s popisom nekoliko desetaka tvrtki ili vlada kojima će digitalni potpis automatski vjerovati, osim ako nije konfigurirano drugačije (o tome više kasnije). Te se pouzdane tvrtke nazivaju Tijela za certifikate ili CA i moraju ispunjavati detaljne kriterije da bi mogli biti dio te liste.

Korijeni sustava za pristup ključevimaTomu možete pristupiti tako da otvorite Spotlight > Pristup ključevima > Korijeni sustava.

Ako web mjesto predstavlja certifikat koji je potpisao bilo koji od ovih pouzdanih certifikacijskih tijela, web preglednici će to protumačiti kao „Vidim potpis ovog tijela certifikata koji sam prethodno konfiguriran za povjerenje. Potpisao je certifikat ovog poslužitelja. To znači da je potvrdila ljude koji stoje iza tog poslužitelja i potvrdila da zaista jesu oni za koje tvrde. Stoga ću i ovom povjerenju vjerovati i korisniku pokazati zelenu kvačicu ili zaključavanje. "

Pomaže smatrati autoritetima za certifikate analogne središnjim tijelima kojima vjeruju i izdaju lične dokumente poput putovnica. Kada podnosite zahtjev za putovnicu, morate ponijeti potporne dokumente poput rodnog lista, vozačke dozvole i fotografije i to ćete vjerojatno morati učiniti osobno kako bi mogli provjeriti da ste osoba na vašoj fotografiji. Kada putujete, putovnicu koristite kao osobni dokument. Vlade, hoteli i aviokompanije vjeruju da ste osoba kojoj vam putovnica potvrđuje.

Tijelo za certifikate možete smatrati analognim uredu za izdavanje putovnice, a digitalnu potvrdu možete smatrati vrstom putovnice ili osobnog dokumenta za web mjesto. Putovnice je (u idealnom slučaju) teško krivotvoriti, a imaju i rok trajanja. Na isti način digitalne potvrde trebalo bi (u idealnom slučaju) biti teško krivotvoriti, a imaju i rokove valjanosti. Protekli datumi isteka, putovnice i digitalni certifikati postaju nevažeći.

Ne možemo pouzdano smatrati kome naši preglednici i računala vjeruju

Možda su vam poznati neki od certifikacijskih tijela za koje je vaše računalo automatski konfigurirano za povjerenje, kao što su Symantec i GoDaddy. Ali jeste li znali da vaš operativni sustav ili preglednik vjerojatno sadrže korijenske certifikate za daleke organizacije poput poštanskog ureda u Hong Kongu, organizacije iz Nizozemske pod nazivom Staat der Nederlanden Root CA i raznih vlada širom svijeta? (Ako ste znatiželjni, evo popisa organizacija kojima vjeruje Firefox).

Rizik je ono što se dogodi kad neko od tih tijela certifikata potpiše a krivotvoren potvrda od lažnog zastupnika iz nepažnje (što se čini da se dogodilo s CNNIC / MCS Holdings / Google debaklom) ili potencijalno čak i kroz zlonamjernost.

Vrijeme je da razmislimo kome vjerujemo na Internetu?

Povjerenje u Internet teče tranzitivno. Mi vjerujemo programerima naših operativnih sustava i našim web preglednicima; vjerujemo tvrtkama poput Googlea koje upravljaju našim podacima na Internetu; i vjerujemo nekoliko tijela certifikata da pažljivo provjere identitet različitih web mjesta i samo izdaju SSL certifikate njihovim zakonitim vlasnicima.

Slučaj krivotvorenih Google certifikata naglašava važnost pregledavanja autoriteta certifikata kojima preglednici zaista trebamo vjerovati. Ovisno o web lokacijama koje obično posjećujete, skup certifikata na koje se zapravo oslanjate može biti puno manji od skupa kojem je računalo povjereno na povjerenje..

Evo što možete učiniti u vezi s tim:

  1. Razmislite o isključenju nekih korijenskih certifikata koji su prethodno konfigurirani na vašem računalu. Na primjer, ako obično ne pregledavate web stranice u Nizozemskoj, vjerojatno je mudro onemogućiti tijelo pod nazivom „Vlada Holandije, PKIoverheid“ kojemu je vaš preglednik vjerovatno postavljen trenutno. Predlažemo i da onemogućite korijenski certifikat za CNNIC.
  2. Razmislite o tome da Chrome postane zadani preglednik, jer Google bilježi budnost i brzi odgovor na povjerenja u kršenja pravila.
  3. Slijedite projekte poput Googleovog projekta transparentnosti certifikata, koji stvara tehničko rješenje kako biste brže primijetili krivotvorene certifikate. Tijekom sljedećih mjeseci i godina takvi će projekti stvoriti dodatke i poboljšanja preglednika i operativnih sustava za rješavanje nekih od ovih problema, ali ta rješenja danas nisu u potpunosti dostupna.
  4. U međuvremenu, ne zaboravite koristiti VPN. Štiti vas od nekih mogućih načina na koje bi napadač mogao pokušati koristiti krivotvoreni SSL certifikat na vama. Na primjer, VPN čini da je puno teže napadaču da dira u vaše DNS rezultate.

Daljnje čitanje:

Što su tijela za certifikate & Povjerenje hijerarhiji? | GlobalSign
Googleov projekt transparentnosti certifikata

Povreda povjerenja nadležnih za certifikate otkriva ranjivost u internetskim hijerarhijama povjerenja
admin Author
Sorry! The Author has not filled his profile.