Кршење поверења поверења ауторитета за сертификат открива рањивост у хијерархији поверења на Интернету

Крајем марта 2015. године дошло је до великог кршења безбедности у који су учествовали неовлашћени дигитални сертификати који лажно представљају Гоогле. Овај инцидент има далекосежне импликације на начин на који обични људи одлучују коме вјеровати на Интернету.

У овом посту покушаћемо да објаснимо зашто је то крајњим корисницима попут вас.

Шта се догодило, укратко

Гоогле је открио фалсификат високог квалитета ССЛ сертификата за Гоогле домене. Фалсификат је био толико добар да је могао преварити већину прегледача, можда дозвољавајући нападачу да се лажно представља као Гоогле и друге домене, а можда чак и преварио кориснике да открију своје лозинке. Срећом, фалсификат је постојао само у затвореном тестном окружењу.

Издавање таквих лажних дигиталних потврда – чак и у окружењу за тестирање – требало би бити готово немогуће, захваљујући ригорозним процесима који постоје у верификацији идентитета власника сертификата. Чињеница да се ово десило је, дакле, веома велика ствар, и значи да се може поновити, и да се вероватно раније дешавало и за друге организације, али је прошло незапажено.

Гоогле реагује ажурирањем свог прегледача Гоогле Цхроме како се више не верује одређеном овлашћеном сертификату (званом ЦННИЦ); уклања ЦННИЦ-ове матичне цертификате из својих производа. Мозилла (креатор Фирефок-а) ће неповерити све нове ЦННИЦ сертификате све док ЦННИЦ-ове успешне пријаве за укључивање у његову роот продавницу.

Освеживач: Ево шта се дешава када посетите веб локацију са важећим ССЛ сертификатом

Помоћи ће вам да боље разумемо шта се дешава када идемо на веб локацију помоћу хттпс-а, ​​а прегледач нам показује зелену квачицу или браву која каже да је веб локација безбедна.

  1. Утипкате хттпс://ввв.гоогле.цом у свој веб прегледач.
  2. Ваш веб прегледач приступа јавном директорију под називом ДНС да би пронашао ИП адресу коју треба да користи за контактирање гоогле.цом.
  3. Ваш веб прегледач контактира послужитељ на ИП адреси коју је добио од ДНС-а.
  4. Сервер одговара ССЛ сертификатом.
  5. Ваш веб прегледач користи овај ССЛ сертификат за постизање две веома важне ствари:
    1. Потврђује идентитет сервера. У овом случају потврђује да Гоогле сервер стварно ради; и
    2. Поставља шифрирани комуникацијски канал тако да се подаци послати између прегледача и сервера криптирају. Ко слуша на мрежи, може видети да комуницирате са Гооглеом, али не може да погледа у садржај своје комуникације.

Ако је ССЛ сертификат валидан, прегледач ће на адресној траци приказати познату зелену квачицу или закључавање.

Ах, зелена брава.Ах, зелена брава.

Међутим, ако је нападач успео да натера мој претраживач да контактира лажни сервер, ваш претраживач ће приметити да је ССЛ сертификат неважећи, и показаће вам безбедносно упозорење.

Ево шта се дешава када је ССЛ сертификат фалсификовање високог квалитета (наговештај: прегледач неће приметити)

Ево зашто је најава од Гоогле-а толико важна: МЦИ Холдингс успео је да створи лажне ССЛ сертификате за Гоогле који су толико реалистични да би могли да преваре већину веб прегледача у помисли да је веб локација на лажном серверу заправо Гоогле. То се идеално не би никада требало десити. Али када се то догоди, изгледало би овако:

  1. Утипкате хттпс://ввв.гоогле.цом у свој претраживач.
  2. Нападач вара свој ДНС сервер дајући вам погрешну ИП адресу за гоогле.цом. То би могли учинити тако што ће искористити бугове у вашем кућном усмјеривачу, друге рутере у мрежи, грешке на самом ДНС серверу (обично их покреће ваш ИСП) или разне друге начине.
  3. Ваш веб прегледач контактира лажни сервер.
  4. Лажни сервер реагује лажним ССЛ сертификатом. Међутим, сертификат је толико висококвалитетног лажирања да ваш прегледач сматра да је валидан.
  5. Ваш прегледач ће приказати зелену квачицу или закључавање у адресној траци.
    1. Кад је ССЛ сертификат висококвалитетног, неостваривог фалсификата, ви и ваш претраживач помислит ћете да је то заправо ГМаил ...Кад је ССЛ сертификат висококвалитетног и неприметног фалсификовања, ви и ваш претраживач помислит ћете да је то заправо ГМаил…
  6. Укуцате своје корисничко име и лозинку за Гоогле у висококвалитетни клон ГМаила и тако га пошаљете нападачу који сада има контролу над свим вашим Гоогле подацима, укључујући вашу е-пошту, документе, фотографије, контакте и све остало везано за ваш Гоогле налог.

Како веб прегледачи ионако одлучују да ли је ССЛ сертификат валидан?

Сваки оперативни систем, паметни телефон и веб претраживач долази унапред инсталиран са списком од неколико десетина компанија или влада чији ће се дигитални потпис аутоматски веровати, осим ако није конфигурисано другачије (о томе касније у наставку). Ове поуздане компаније се називају ауторитет за сертификат, или ЦА, и морају испуњавати детаљне критеријуме да би могли бити део те листе.

Коријени система за приступ кључевимаОвом приступу можете приступити у центру пажње > Приступ кључевима > Коријени система.

Ако веб локација представља цертификат који је потписао било који од ових поузданих сертификата, веб прегледачи ће то протумачити као „Видим потпис овог ауторитета за сертификат који сам претходно конфигурисан за поверење. Потписао је сертификат овог сервера. То значи да је потврдио људе који стоје иза тог сервера и потврдио да су заиста они који тврде да јесу. Стога ћу и овом поверењу веровати и кориснику показати зелену квачицу или закључавање. “

То помаже да се ауторитети за сертификате сматрају аналогним централним органима којима се верују и издају лична документа попут пасоша. Када подносите захтев за пасош, морате да донесете пратећу документацију попут родног листа, возачке дозволе и фотографије, и вероватно ћете то морати да урадите лично, како би могли да провере да ли сте особа на вашој фотографији. Када путујете, пасош користите као лични документ. Владе, хотели и авиокомпаније верују да сте особа којој вам пасош потврђује.

О ауторитету за сертификате можете мислити као аналогном канцеларији за издавање пасоша, а о дигиталном потврди можете размишљати као о врсти пасоша или личног документа за веб локацију. Пасоше је (у идеалном случају) тешко фалсификовати и имају рокове важења. На исти начин, дигиталне потврде требало би (у идеалном случају) бити тешко кривотворити, а имају и рокове важења. Прошли датуми истека пасоша и дигиталних потврда постају неважећи.

Не можемо схватити коме верују прегледачи и рачунари

Можда сте упознати са неким ауторитетима сертификата којима је рачунар аутоматски конфигурисан за поверење, као што су Симантец и ГоДадди. Али да ли сте знали да ваш оперативни систем или претраживач вероватно садрже коренске сертификате за далеке организације попут поштанског уреда у Хонг Конгу, организације из Холандије под називом Стаат дер Недерланден Роот ЦА и разних влада широм света? (Ако сте знатижељни, ево листе организација којима верује Фирефок).

Ризик је оно што се догоди када неко од тих органа за сертификацију потпише а фалсификовано потврда од лажног власника из нехата (што се чини да се догодило са ЦННИЦ / МЦС Холдингс / Гоогле дебаклом) или потенцијално чак и путем злобе.

Да ли је време да се преиспита коме верујемо на Интернету?

Поверење у Интернет тече транзитивно. Ми верујемо програмерима наших оперативних система и нашим веб прегледачима; верујемо компанијама као што су Гоогле које управљају нашим подацима на Интернету; и верујемо неколико сертификата да пажљиво провере идентитет различитих веб локација и само издају ССЛ сертификате њиховим легитимним власницима.

Случај фалсификованих Гоогле сертификата наглашава важност прегледа који ауторитети сертификата су нам прегледачи заиста потребни. Зависно од веб локација које обично посећујете, скуп сертификата на које се заправо ослањате може бити много мањи од скупа који је веродостојан на рачунару.

Ево шта можете да учините у вези са тим:

  1. Размислите о томе да онемогућите неке коренске цертификате који су претходно конфигурисани на вашем рачунару. На пример, ако обично не прегледате веб локације у Холандији, вероватно је мудро онемогућити ауторитет под називом „Влада Холандије, ПКИоверхеид“ у који вам вероватно тренутно верује веб претраживач. Такође предлажемо да онемогућите основни сертификат за ЦННИЦ.
  2. Размислите о томе да Цхроме постанете подразумевани прегледач, јер Гоогле бележи будност и брзу реакцију на поверења у повреде.
  3. Пратите пројекте попут Гоогле-овог пројекта за транспарентност сертификата, који ствара техничко решење за брже примећивање фалсификованих сертификата. Током наредних месеци и година, такви пројекти ће створити додатке и побољшања претраживача и оперативних система за решавање неких од ових проблема, али та решења данас нису у потпуности доступна.
  4. У међувремену, не заборавите да користите ВПН. Штити вас од неких могућих начина на које би нападач могао да покуша да користи фалсификовани ССЛ сертификат на вама. На пример, ВПН знатно отежава нападачу да вара ваше ДНС резултате.

Додатна литература:

Шта су ауторитети за сертификате & Поверење хијерархији? | ГлобалСигн
Гоогле-ов пројекат транспарентности сертификата

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me