Încălcarea de încredere a autorității de certificare expune vulnerabilitatea ierarhiilor de încredere pe Internet


La sfârșitul lunii martie 2015, a existat o încălcare importantă de securitate care a implicat certificate digitale neautorizate care înlocuiesc Google. Acest incident are implicații de anvergură pentru modul în care oamenii obișnuiți decid cine să aibă încredere pe Internet.

În această postare, vom încerca să explicăm de ce contează acest lucru pentru utilizatorii finali ca tine.

Ce s-a întâmplat, pe scurt

Google a detectat falsuri de înaltă calitate a certificatelor SSL pentru domeniile Google. Falsurile au fost atât de bune încât au putut păcăli majoritatea browserelor, lăsând posibil un atacator să interpreteze Google și alte domenii, putând chiar păcăli utilizatorii să își dezvăluie parolele. Din fericire, falsurile au existat doar într-un mediu de test închis.

Emiterea unor astfel de certificate digitale false – chiar și într-un mediu de testare – se presupune a fi aproape imposibilă, datorită proceselor riguroase existente pentru verificarea identității deținătorilor de certificate. Faptul că acest lucru s-a întâmplat este, prin urmare, o afacere foarte mare și înseamnă că se poate întâmpla din nou și că probabil s-a întâmplat înainte și pentru alte organizații, dar a trecut neobservat.

Google răspunde prin actualizarea browserului Google Chrome pentru a nu mai avea încredere în autoritatea de certificare specifică implicată (numită CNNIC); scoate din produsele sale certificatele rădăcină ale CNNIC. Mozilla (creatorul Firefox) va neîncrederea tuturor noilor certificate CNNIC până la reaplicarea cu succes a CNNIC pentru includerea în magazinul său root.

Actualizare: Iată ce se întâmplă când vizitați un site cu un certificat SSL valid

Vă va ajuta să înțelegeți la nivel înalt ce se întâmplă atunci când accesăm un site web folosind https, iar browserul nostru ne arată o bifă sau un blocaj verde care spune că acest site este sigur.

  1. Introduceți https://www.google.com în browserul dvs. web.
  2. Browserul dvs. Web accesează un director public numit DNS pentru a căuta adresa IP pe care ar trebui să o folosească pentru a contacta google.com.
  3. Browserul dvs. Web contactează serverul la adresa IP primită de la DNS.
  4. Serverul răspunde cu un certificat SSL.
  5. Browserul dvs. web folosește acest certificat SSL pentru a realiza două lucruri foarte importante:
    1. Confirmă identitatea serverului. În acest caz, confirmă faptul că serverul este condus cu adevărat de Google; și
    2. Configurează un canal de comunicare criptat, astfel încât datele trimise între browser și server să fie criptate. Cine asculta în rețea poate vedea că comunicați cu Google, dar nu poate privi în conținutul comunicării dvs..

Dacă certificatul SSL este valabil, browserul dvs. va afișa marcajul de verificație verde sau un blocaj în bara de adrese.

Ahh, lacătul verde.Ahh, lacătul verde.

Cu toate acestea, dacă un atacator a reușit să-și păcălească browserul să contacteze un server fals, browserul dvs. va observa că certificatul SSL este invalid, și vă va arăta un avertisment de securitate.

Iată ce se întâmplă când certificatul SSL este o falsă de înaltă calitate (indiciu: browserul dvs. nu va observa)

Iată de ce anunțul de la Google este atât de important: MCI Holdings a reușit să creeze certificate SSL false pentru Google, care erau atât de realiste încât ar putea păcăli majoritatea browserelor web să creadă că un site web de pe un server fals este de fapt Google. În mod ideal, acest lucru nu ar trebui să se întâmple niciodată. Dar atunci când se întâmplă, așa ar arăta:

  1. Introduceți https://www.google.com în browser.
  2. Un atacator îți păcălește serverul DNS să îți ofere o adresă IP greșită pentru google.com. Aceștia ar putea face acest lucru prin exploatarea erorilor din routerul de acasă, a altor routere din rețea, a erorilor din serverul DNS în sine (de obicei condus de ISP-ul tău) sau alte alte modalități.
  3. Browserul dvs. Web contactează serverul fals.
  4. Serverul fals răspunde cu un certificat SSL fals. Cu toate acestea, certificatul este un fals atât de înalt, încât browserul dvs. consideră că este valid.
  5. Browserul dvs. va afișa marcajul verde sau blocarea în bara de adrese.
    1. Când certificatul SSL este o falsă de înaltă calitate, nedetectabilă, dvs. și browserul dvs. veți crede că este de fapt GMail ...Când certificatul SSL este o falsă de înaltă calitate, nedetectabilă, dvs. și browserul dvs. veți crede că este de fapt GMail …
  6. Introduceți numele de utilizator și parola Google într-o clonă GMail de înaltă calitate, trimițându-l astfel atacatorului, care acum controlează toate datele Google, inclusiv e-mailul, documentele, fotografiile, contactele și orice altceva este legat de contul Google..

Cum decid browserele web dacă un certificat SSL este valid, oricum?

Fiecare sistem de operare, smartphone și browser web sunt preinstalate cu o listă de câteva zeci de companii sau guverne ale căror semnături digitale vor avea încredere automată, cu excepția cazului în care se configurează altfel (mai multe despre acest lucru mai târziu). Aceste companii de încredere se numesc Autorități de certificare sau CA și trebuie să îndeplinească criterii detaliate pentru a face parte din acea listă.

Rădăcinile sistemului de acces la cheiePuteți accesa acest lucru accesând Spotlight > Acces la cheie > Radacini de sistem.

Dacă un site web prezintă un certificat semnat de oricare dintre aceste autorități de certificare de încredere, browserele web vor interpreta asta ca „văd semnătura acestei autorități de certificare pe care sunt pre-configurată pentru a avea încredere. A semnat certificatul acestui server. Asta înseamnă că a verificat oamenii din spatele serverului și a confirmat că sunt cu adevărat cine susțin. Prin urmare, de asemenea, am încredere în acest certificat și voi arăta marcatorul verde sau blocarea utilizatorului meu. ”

Ajută la gândirea autorităților de certificare ca fiind analoage cu organismele centrale de încredere care emit documente de identitate precum pașapoarte. Când solicitați un pașaport, trebuie să aduceți documente justificative precum certificatul de naștere, permisul de conducere și o fotografie și, probabil, trebuie să o faceți în persoană, astfel încât să poată verifica dacă sunteți persoana din fotografia dvs. Când călătoriți, utilizați pașaportul ca document de identitate. Guvernele, hotelurile și companiile aeriene au încredere că sunteți persoana pe care pasaportul vă confirmă a fi.

Puteți crede că o autoritate de certificare este similară cu un birou emitent de pașapoarte și puteți gândi la un certificat digital ca un fel de pașaport sau document de identitate pentru un site web. Pașapoartele sunt (ideal) dificil de falsificat și au date de expirare. În același mod, în mod ideal, certificatele digitale ar trebui să fie greu de falsificat și, de asemenea, au date de expirare. Au trecut datele de expirare, pașapoartele și certificatele digitale devin invalide.

Nu putem lua de la sine încredere că browserele și calculatoarele noastre sunt sigure

S-ar putea să vă familiarizați cu unele dintre autoritățile de certificare în care computerul dvs. este automat preconfigurat pentru a avea încredere, cum ar fi Symantec și GoDaddy. Dar știați că sistemul dvs. de operare sau browserul include, probabil, certificate de rădăcină pentru organizații îndepărtate precum Hong Kong Post Office, o organizație din Olanda numită Staat der Nederlanden Root CA și diverse guverne din întreaga lume? (Dacă sunteți curios, iată lista organizațiilor de încredere de Firefox).

Riscul se întâmplă când una dintre aceste autorități de certificare semnează a fals certificat de la un imputernicit prin neglijență (ceea ce se pare că s-a întâmplat cu debacul CNNIC / MCS Holdings / Google), sau potențial chiar prin răutate.

Este timpul să reconsiderăm în cine avem încredere pe Internet?

Încrederea pe internet curge tranzitiv. Avem încredere în dezvoltatorii sistemelor noastre de operare și în browserele noastre web; avem încredere în companii precum Google care se ocupă de datele noastre pe Internet; și avem încredere în mai multe autorități de certificare pentru a verifica cu atenție identitatea diferitelor site-uri web și pentru a emite numai certificate SSL proprietarilor lor legitimi.

Cazul certificatelor falsificate Google evidențiază importanța examinării autorităților de certificare de care avem nevoie cu adevărat browserele noastre de încredere. În funcție de site-urile web pe care le vizitați în mod obișnuit, setul de autorități de certificare pe care vă bazați efectiv ar putea fi mult mai mic decât setul care are încredere în prealabil pe computer.

Iată ce puteți face în acest sens:

  1. Luați în considerare dezactivarea unora dintre certificatele root care au fost preconfigurate pe computer. De exemplu, dacă nu navigați de obicei pe site-urile din Olanda, este probabil să înțelegeți să dezactivați autoritatea numită „Guvernul Țărilor de Jos, PKIoverheid” în care browserul dvs. este probabil să aibă încredere în prezent. De asemenea, sugerăm să dezactivați certificatul rădăcină pentru CNNIC.
  2. Luați în considerare să faceți Chrome browserul dvs. implicit, deoarece Google are o evidență de a fi vigilent și de a răspunde prompt la încrederea încălcărilor.
  3. Urmați proiecte precum Proiectul de transparență a certificatelor Google, care creează o soluție tehnică pentru a observa mai rapid certificatele falsificate. În următoarele luni și ani, astfel de proiecte vor crea plugin-uri și îmbunătățiri pentru browsere și sisteme de operare pentru a rezolva unele dintre aceste probleme, dar aceste soluții nu sunt pe deplin disponibile astăzi.
  4. Între timp, nu uitați să utilizați un VPN. Te protejează de unele dintre modalitățile posibile prin care un atacator ar putea încerca să utilizeze un certificat SSL falsificat pe tine. De exemplu, VPN face mult mai dificil pentru un atacator să modifice rezultatele DNS.

Citire ulterioară:

Ce sunt autoritățile de certificare & Ai încredere în Ierarhi? | GlobalSign
Proiectul de transparență a certificatului Google

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map