Sertifikāta iestādes uzticības pārkāpums atklāj ievainojamību interneta uzticamības hierarhijās

[ware_item id=33][/ware_item]

Sertifikāta iestādes uzticības pārkāpums atklāj ievainojamību interneta uzticamības hierarhijās


2015. gada marta beigās notika nopietns drošības pārkāpums, kas saistīts ar neatļautiem digitāliem sertifikātiem, kas uzdodas par uzņēmumu Google. Šim gadījumam ir tālejoša ietekme uz to, kā parasti cilvēki izlemj, kam uzticēties internetā.

Šajā rakstā mēs centīsimies izskaidrot, kāpēc tas ir svarīgi tādiem tiešajiem lietotājiem kā jūs.

Īsi sakot, kas notika

Google atklāja augstas kvalitātes SSL sertifikātu viltojumus Google domēniem. Viltojumi bija tik labi, ka viņi varēja maldināt lielāko daļu pārlūkprogrammu, iespējams, ļaujot uzbrucējam uzdoties par Google un citiem domēniem, potenciāli pat maldinot lietotājus atklāt viņu paroles. Par laimi, viltojumi pastāvēja tikai slēgtā testa vidē.

Paredzēts, ka šādu viltotu digitālo sertifikātu izdošana - pat testēšanas vidē - ir gandrīz neiespējama, pateicoties ieviestajiem stingrajiem sertifikācijas īpašnieku identitāšu pārbaudes procesiem. Tāpēc tas, ka tas notika, ir ļoti liels darījums, un tas nozīmē, ka tas var atkārtoties, un tas, iespējams, ir noticis jau iepriekš citām organizācijām, bet palika nepamanīts..

Google reaģē, atjauninot savu Google Chrome pārlūku, lai vairs neuzticētos konkrētajai iesaistītajai sertifikātu iestādei (ko sauc par CNNIC); tas no saviem produktiem noņem CNNIC saknes sertifikātus. Mozilla (Firefox veidotājs) neuzticēsies visiem jaunajiem CNNIC sertifikātiem, līdz CNNIC veiks sekmīgu atkārtotu pieteikšanos iekļaušanai savā sakņu veikalā.

Atjaunināšana: lūk, kas notiek, kad apmeklējat vietni ar derīgu SSL sertifikātu

Tas palīdzēs iegūt augsta līmeņa izpratni par to, kas notiek, kad apmeklējam vietni, izmantojot https, un mūsu pārlūks mums parāda zaļu atzīmi vai slēdzeni, sakot, ka šī vietne ir droša.

  1. Jūs savā tīmekļa pārlūkā ierakstāt https://www.google.com.
  2. Jūsu tīmekļa pārlūkprogramma piekļūst publiskam direktorijam ar nosaukumu DNS, lai noskaidrotu, kuru IP adresi tai vajadzētu izmantot, lai sazinātos ar vietni google.com.
  3. Jūsu tīmekļa pārlūks sazinās ar serveri pēc IP adreses, kuru tas saņēma no DNS.
  4. Serveris atbild ar SSL sertifikātu.
  5. Jūsu tīmekļa pārlūkprogramma izmanto šo SSL sertifikātu, lai sasniegtu divas ļoti svarīgas lietas:
    1. Tas apstiprina servera identitāti. Šajā gadījumā tas apstiprina, ka serveri patiešām vada Google; un
    2. Tas izveido šifrētu saziņas kanālu, lai starp pārlūku un serveri nosūtītie dati tiktu šifrēti. Ikviens, kurš klausās tīklā, var redzēt, ka jūs sazināties ar Google, bet nevarat ielūkoties saziņas saturā.

Ja SSL sertifikāts ir derīgs, jūsu pārlūkprogramma adreses joslā parādīs pazīstamo zaļo atzīmi vai slēdzeni.

Ah, zaļā atslēga.Ah, zaļā atslēga.

Tomēr, ja uzbrucējam izdevās pievilināt manu pārlūku, lai viņš sazinātos ar viltus serveri, jūsu pārlūkprogramma pamanīs, ka SSL sertifikāts ir nederīgs, un tas parādīs drošības brīdinājumu.

Lūk, kas notiek, ja SSL sertifikāts ir augstas kvalitātes viltojums (padoms: jūsu pārlūkprogramma to nepamanīs)

Tādēļ Google paziņojums ir tik svarīgs: MCI Holdings izdevās izveidot viltotus SSL sertifikātus uzņēmumam Google, kas bija tik reālistiski, ka vairumam interneta pārlūkprogrammu varēja likt domāt, ka viltota servera vietne patiesībā ir Google. Ideālā gadījumā tam nekad nevajadzētu notikt. Bet, kad tas notiek, tas izskatās šādi:

  1. Jūs savā pārlūkprogrammā ierakstāt https://www.google.com.
  2. Uzbrucējs pievīla jūsu DNS serveri, norādot nepareizu IP adresi vietnei google.com. Viņi to varētu izdarīt, izmantojot kļūdas jūsu mājas maršrutētājā, citos maršrutētājos tīklā, kļūdas pašā DNS serverī (parasti to pārvalda jūsu ISP) vai dažādos citos veidos.
  3. Jūsu tīmekļa pārlūkprogramma sazinās ar viltus serveri.
  4. Viltus serveris atbild ar viltus SSL sertifikātu. Tomēr sertifikāts ir tik augstas kvalitātes viltots, ka jūsu pārlūkprogramma uzskata, ka tas ir derīgs.
  5. Jūsu pārlūkprogramma adreses joslā parādīs zaļo atzīmi vai slēdzeni.
    1. Kad SSL sertifikāts ir augstas kvalitātes, nenosakāms viltojums, jūs un jūsu pārlūks domājat, ka tas faktiski ir GMail ...Ja SSL sertifikāts ir augstas kvalitātes, nenosakāms viltojums, jūs un jūsu pārlūkprogramma domājat, ka tas faktiski ir GMail.
  6. Jūs ierakstiet savu Google lietotājvārdu un paroli augstas kvalitātes GMail klonā, tādējādi nosūtot to uzbrucējam, kurš tagad iegūst kontroli pār visiem jūsu Google datiem, ieskaitot jūsu e-pastu, dokumentus, fotoattēlus, kontaktpersonas un visu citu, kas saistīts ar jūsu Google kontu.

Kā jebkurā gadījumā interneta pārlūkprogrammas izlemj, vai SSL sertifikāts ir derīgs?

Katrai operētājsistēmai, viedtālrunim un tīmekļa pārlūkam ir iepriekš instalēts saraksts ar dažiem desmitiem uzņēmumu vai valdību, kuru digitālajiem parakstiem tas automātiski uzticēsies, ja vien tas nav konfigurēts citādi (vairāk par to vēlāk). Šīs uzticamās kompānijas sauc par sertifikātu autoritātēm jeb SI, un tām jāatbilst sīki izstrādātiem kritērijiem, lai tās iekļautos šajā sarakstā..

Keychain piekļuves sistēmas saknesTam varat piekļūt, apmeklējot vietni Spotlight > Piekļuve atslēgu piekariņam > Sistēmas saknes.

Ja vietne uzrāda sertifikātu, kuru ir parakstījusi kāda no šīm uzticamajām sertifikātu pilnvarotājām iestādēm, tīmekļa pārlūkprogrammas to interpretēs kā “es redzu šīs sertifikāta iestādes parakstu, kuram esmu iepriekš konfigurējis, lai uzticētos. Tas ir parakstījis šī servera sertifikātu. Tas nozīmē, ka tā ir pārbaudījusi cilvēkus, kas atrodas aiz šī servera, un apstiprināja, ka viņi tiešām ir tie, par kuriem viņi apgalvo. Tāpēc es arī uzticos šim sertifikātam un parādīšu savam lietotājam zaļo atzīmi vai slēdzeni. ”

Tas palīdz domāt par sertifikātu izdevējām iestādēm, kas ir analogi centrālajām uzticamajām institūcijām, kuras izsniedz personu apliecinošus dokumentus, piemēram, pases. Kad jūs piesakāties pasei, jums jāņem līdzi attaisnojoši dokumenti, piemēram, dzimšanas apliecība, vadītāja apliecība un fotogrāfija, un, iespējams, tas ir jādara personīgi, lai viņi varētu pārliecināties, ka esat cilvēks jūsu fotoattēlā. Ceļojot jūs kā savu personu apliecinošu dokumentu izmantojat pasi. Valdības, viesnīcas un aviosabiedrības uzticas, ka jūs esat persona, kura pase apliecina, ka esat.

Jūs varat domāt par sertifikātu izdevējiestādi, kas ir analoga pasu izdevējai iestādei, un varat domāt par digitālo sertifikātu kā sava veida pasi vai personu apliecinošu dokumentu vietnei. Pases (ideālā gadījumā) ir grūti viltot, un tām ir derīguma termiņš. Tādā pašā veidā digitālajiem sertifikātiem (ideālā gadījumā) vajadzētu būt grūti viltotiem, un tiem ir arī derīguma termiņš. Pēc derīguma termiņa beigām pases un digitālie sertifikāti vairs nav derīgi.

Mēs nevaram uzskatīt, kam mūsu pārlūkprogrammas un datori uzticas

Jums varētu būt pazīstams ar dažām sertifikātu autoritātēm, piemēram, Symantec un GoDaddy, kurām jūsu dators ir automātiski iepriekš konfigurēts, lai uzticētos. Bet vai jūs zinājāt, ka jūsu operētājsistēmā vai pārlūkprogrammā, iespējams, ir saknes sertifikāti tālajām organizācijām, piemēram, Honkongas pasta nodaļai, organizācijai no Nīderlandes ar nosaukumu Staat der Nederlanden Root CA, un dažādām valdībām visā pasaulē? (Ja jums ir interese, šeit ir saraksts ar organizācijām, kurām uzticas Firefox).

Risks ir tas, kas notiek, kad kāda no šīm sertifikātu izdevējiestādēm paraksta a kalti uzdošanās sertifikāts nolaidības dēļ (kas, iespējams, ir noticis ar CNNIC / MCS Holdings / Google neveiksmi) vai, iespējams, pat ļaunprātības dēļ.

Vai ir pienācis laiks pārdomāt, kam mēs uzticamies internetā?

Uzticība internetam plūst īslaicīgi. Mēs uzticamies mūsu operētājsistēmu un mūsu tīmekļa pārlūkprogrammu izstrādātājiem; mēs uzticamies tādiem uzņēmumiem kā Google, kas apstrādā mūsu datus internetā; un mēs uzticamies vairākām sertifikātu iestādēm rūpīgi pārbaudīt dažādu vietņu identitāti un izdot SSL sertifikātus tikai to likumīgajiem īpašniekiem.

Viltotu Google sertifikātu gadījumā tiek uzsvērts, cik svarīgi ir pārskatīt, kurām sertifikātu autoritātēm mums patiešām ir nepieciešami mūsu pārlūki, kuriem uzticēties. Atkarībā no tā, kuras vietnes parasti apmeklējat, sertifikātu pilnvarotāju komplekts, uz kuru patiesībā paļaujaties, varētu būt daudz mazāks nekā komplekts, kas iepriekš uzticams jūsu datoram.

To var paveikt šādi:

  1. Apsveriet iespēju atspējot dažus saknes sertifikātus, kas iepriekš konfigurēti datorā. Piemēram, ja jūs parasti nepārlūkojat vietnes Nīderlandē, iespējams, ir prātīgi atspējot iestādi, kuras nosaukums ir “Nīderlandes valdība, PKIoverheid”, kurai jūsu pārlūkprogramma, iespējams, pašlaik ir uzticēta. Mēs arī iesakām atspējot CNNIC saknes sertifikātu.
  2. Apsveriet iespēju iestatīt pārlūku Chrome par noklusējuma pārlūku, jo Google jau ir reģistrējis modrību un nekavējoties reaģē uz uzticēšanās pārkāpumiem.
  3. Sekojiet tādiem projektiem kā Google sertifikātu caurspīdīguma projekts, kas rada tehnisku risinājumu, lai ātrāk pamanītu viltotus sertifikātus. Nākamo mēnešu un gadu laikā šādi projekti izveidos spraudņus un uzlabojumus pārlūkprogrammām un operētājsistēmām, lai atrisinātu dažas no šīm problēmām, taču šie risinājumi šodien nav pilnībā pieejami..
  4. Pa to laiku atcerieties izmantot VPN. Tas aizsargā jūs no dažiem iespējamiem veidiem, kā uzbrucējs varētu mēģināt uz jums izmantot viltotu SSL sertifikātu. Piemēram, VPN uzbrucējam ir daudz grūtāk izjaukt jūsu DNS rezultātus.

Papildu informācija:

Kas ir sertifikātu izdevējas iestādes? & Uzticības hierarhijas? | GlobalSign
Google sertifikātu caurspīdīguma projekts

Sertifikāta iestādes uzticības pārkāpums atklāj ievainojamību interneta uzticamības hierarhijās
admin Author
Sorry! The Author has not filled his profile.