Naruszenie zaufania urzędu certyfikacji ujawnia lukę w internetowych hierarchiach zaufania


Pod koniec marca 2015 r. Doszło do poważnego naruszenia bezpieczeństwa związanego z nieautoryzowanymi certyfikatami cyfrowymi podszywającymi się pod Google. Ten incydent ma daleko idące konsekwencje dla tego, jak zwykli ludzie decydują, komu zaufać w Internecie.

W tym poście postaramy się wyjaśnić, dlaczego jest to ważne dla użytkowników końcowych takich jak Ty.

Co się stało, w pigułce

Google wykryło fałszowanie certyfikatów SSL wysokiej jakości dla domen Google. Falsyfikaty były tak dobre, że mogły oszukać większość przeglądarek, prawdopodobnie pozwalając osobie atakującej podszyć się pod Google i inne domeny, potencjalnie nawet nakłaniając użytkowników do ujawnienia swoich haseł. Na szczęście podróbki istniały tylko w zamkniętym środowisku testowym.

Wydawanie takich fałszywych certyfikatów cyfrowych – nawet w środowisku testowym – powinno być prawie niemożliwe, dzięki rygorystycznym procesom weryfikującym tożsamość posiadaczy certyfikatów. Fakt, że tak się stało, jest zatem bardzo ważną sprawą i oznacza, że ​​może się to powtórzyć, i że prawdopodobnie zdarzyło się to wcześniej w przypadku innych organizacji, ale pozostało niezauważone.

Google odpowiada, aktualizując swoją przeglądarkę Google Chrome, aby nie ufała już zaangażowanemu urzędowi certyfikacji (zwanemu CNNIC); usuwa certyfikaty główne CNNIC ze swoich produktów. Mozilla (twórca Firefoksa) nie będzie ufać wszystkim nowym certyfikatom CNNIC, dopóki CNNIC nie zostanie pomyślnie ponownie złożony w celu umieszczenia w swoim katalogu głównym.

Odświeżanie: oto, co dzieje się, gdy odwiedzasz witrynę z ważnym certyfikatem SSL

Pomoże to w zrozumieniu na wysokim poziomie tego, co dzieje się, gdy przejdziemy do witryny korzystającej z protokołu https, a nasza przeglądarka wyświetli zielony znacznik wyboru lub blokadę informującą, że ta witryna jest bezpieczna.

  1. W przeglądarce internetowej wpisujesz https://www.google.com.
  2. Twoja przeglądarka uzyskuje dostęp do publicznego katalogu o nazwie DNS, aby sprawdzić, którego adresu IP powinien użyć, aby skontaktować się z google.com.
  3. Twoja przeglądarka internetowa kontaktuje się z serwerem pod adresem IP otrzymanym z DNS.
  4. Serwer odpowiada certyfikatem SSL.
  5. Twoja przeglądarka używa tego certyfikatu SSL, aby osiągnąć dwie bardzo ważne rzeczy:
    1. Potwierdza to tożsamość serwera. W tym przypadku potwierdza to, że serwer jest naprawdę obsługiwany przez Google; i
    2. Konfiguruje zaszyfrowany kanał komunikacyjny, dzięki czemu dane przesyłane między przeglądarką a serwerem są szyfrowane. Każdy, kto słucha w sieci, może zobaczyć, że komunikujesz się z Google, ale nie może zajrzeć do treści Twojej komunikacji.

Jeśli certyfikat SSL jest ważny, przeglądarka wyświetli znajomy zielony znacznik wyboru lub zablokuje się na pasku adresu.

Ahh, zielony zamek.Ahh, zielony zamek.

Jeśli jednak osoba atakująca zdoła nakłonić moją przeglądarkę do skontaktowania się z fałszywym serwerem, przeglądarka zauważy, że certyfikat SSL to nieważny, i wyświetli ostrzeżenie bezpieczeństwa.

Oto, co dzieje się, gdy certyfikat SSL jest fałszywym materiałem wysokiej jakości (wskazówka: Twoja przeglądarka nie zauważy)

Oto dlaczego ogłoszenie od Google jest tak ważne: MCI Holdings udało się stworzyć fałszywe certyfikaty SSL dla Google, które były tak realistyczne, że można było oszukać większość przeglądarek internetowych, że witryna na fałszywym serwerze to tak naprawdę Google. Idealnie nigdy nie powinno się to zdarzyć. Ale kiedy tak się stanie, wyglądałoby to tak:

  1. W przeglądarce wpisujesz https://www.google.com.
  2. Osoba atakująca oszukuje serwer DNS, aby podał niewłaściwy adres IP dla google.com. Mogą to zrobić poprzez wykorzystanie błędów w routerze domowym, innych routerach w sieci, błędów w samym serwerze DNS (zwykle obsługiwanych przez usługodawcę internetowego) lub na różne inne sposoby.
  3. Twoja przeglądarka internetowa kontaktuje się z fałszywym serwerem.
  4. Fałszywy serwer odpowiada fałszywym certyfikatem SSL. Certyfikat jest jednak tak wysokiej jakości podróbką, że przeglądarka uważa, że ​​jest ważny.
  5. Twoja przeglądarka wyświetli zielony znacznik wyboru lub zablokuje się na pasku adresu.
    1. Gdy certyfikat SSL jest wysokiej jakości, niewykrywalnym fałszerstwem, Ty i Twoja przeglądarka pomyślicie, że to właściwie Gmail ...Gdy certyfikat SSL jest wysokiej jakości, niewykrywalnym fałszerstwem, Ty i Twoja przeglądarka pomyślicie, że to właściwie Gmail…
  6. Wpisujesz swoją nazwę użytkownika Google i hasło w wysokiej jakości klonie Gmaila, tym samym wysyłając je do atakującego, który teraz kontroluje wszystkie twoje dane Google, w tym e-mail, dokumenty, zdjęcia, kontakty i wszystko inne związane z Twoim kontem Google.

W jaki sposób przeglądarki internetowe decydują o tym, czy certyfikat SSL jest ważny?

Każdy system operacyjny, smartfon i przeglądarka internetowa jest fabrycznie zainstalowany z listą kilkudziesięciu firm lub rządów, których podpisom cyfrowym będzie automatycznie ufać, chyba że skonfigurowano inaczej (więcej o tym później). Te zaufane firmy nazywane są urzędami certyfikacji lub urzędami certyfikacji i muszą spełniać szczegółowe kryteria, aby znaleźć się na tej liście.

Korzenie systemu dostępu do pęku kluczyMożesz uzyskać do niego dostęp, przechodząc do Spotlight > Dostęp do pęku kluczy > Korzenie systemu.

Jeśli witryna internetowa przedstawia certyfikat podpisany przez którykolwiek z tych zaufanych urzędów certyfikacji, przeglądarki internetowe zinterpretują to jako „Widzę podpis tego urzędu certyfikacji, który mam wstępnie skonfigurowany do zaufania. Podpisał certyfikat tego serwera. Oznacza to, że zweryfikował osoby stojące za tym serwerem i potwierdził, że naprawdę są tym, za kogo się podają. Dlatego też ufam również temu certyfikatowi i pokażę zielony znacznik wyboru lub blokadę użytkownikowi ”.

Pomaga myśleć o urzędach certyfikacji jako analogicznych do centralnych zaufanych organów, które wydają dokumenty tożsamości, takie jak paszporty. Kiedy ubiegasz się o paszport, musisz przynieść dokumenty potwierdzające, takie jak twój akt urodzenia, prawo jazdy i zdjęcie, i prawdopodobnie musisz to zrobić osobiście, aby mogli potwierdzić, że jesteś osobą na zdjęciu. Podczas podróży używasz paszportu jako dokumentu tożsamości. Rządy, hotele i linie lotnicze ufają, że jesteś osobą, którą potwierdza twój paszport.

Możesz myśleć o urzędzie certyfikacji jako analogicznym do urzędu wydającego paszport i możesz myśleć o certyfikacie cyfrowym jako o rodzaju paszportu lub dokumentu tożsamości dla witryny internetowej. Paszporty są (idealnie) trudne do sfałszowania i mają daty ważności. W ten sam sposób certyfikaty cyfrowe powinny (najlepiej) być trudne do sfałszowania, a także mają daty ważności. Po upływie dat ważności paszporty i certyfikaty cyfrowe tracą ważność.

Nie możemy przyjąć, komu nasze przeglądarki i komputery ufają za coś oczywistego

Możesz być zaznajomiony z niektórymi urzędami certyfikacji, które komputer jest automatycznie wstępnie skonfigurowany do zaufania, np. Symantec i GoDaddy. Ale czy wiesz, że Twój system operacyjny lub przeglądarka prawdopodobnie zawierają certyfikaty root dla odległych organizacji, takich jak Hong Kong Post Office, holenderska organizacja o nazwie Staat der Nederlanden Root CA i różne rządy na całym świecie? (Jeśli jesteś ciekawy, oto lista organizacji zaufanych przez Firefox).

Ryzyko polega na tym, że jeden z tych urzędów certyfikacji podpisze a podrobiony certyfikat od personifikatora w wyniku zaniedbania (co wydaje się, że stało się z upadkiem CNNIC / MCS Holdings / Google) lub potencjalnie nawet z powodu złośliwości.

Czy nadszedł czas, aby ponownie rozważyć, komu ufamy w Internecie?

Zaufanie do Internetu przepływa tranzytowo. Ufamy twórcom naszych systemów operacyjnych i naszych przeglądarek internetowych; ufamy firmom takim jak Google, które przetwarzają nasze dane w Internecie; i ufamy kilku urzędom certyfikacji, które dokładnie sprawdzą tożsamość różnych witryn i wystawią certyfikaty SSL tylko swoim prawowitym właścicielom.

Przypadek sfałszowanych certyfikatów Google podkreśla znaczenie sprawdzenia, którym organom certyfikacji naprawdę potrzebujemy, aby nasze przeglądarki ufały. W zależności od witryn, które zazwyczaj odwiedzasz, zestaw urzędów certyfikacji, na którym faktycznie polegasz, może być znacznie mniejszy niż zestaw wstępnie zaufany na twoim komputerze.

Oto, co możesz z tym zrobić:

  1. Rozważ wyłączenie niektórych certyfikatów głównych, które zostały wstępnie skonfigurowane na komputerze. Na przykład, jeśli zazwyczaj nie przeglądasz witryn w Holandii, prawdopodobnie rozsądnie jest wyłączyć organ o nazwie „Rząd Holandii, PKIoverheid”, któremu Twoja przeglądarka prawdopodobnie ma obecnie zaufanie. Sugerujemy również wyłączenie certyfikatu głównego dla CNNIC.
  2. Zastanów się nad ustawieniem Chrome jako domyślnej przeglądarki, ponieważ Google od dawna jest czujny i szybko reaguje na naruszenia zaufania.
  3. Śledź projekty takie jak Projekt przejrzystości certyfikatów Google, który tworzy techniczne rozwiązanie, aby szybciej zauważać sfałszowane certyfikaty. W nadchodzących miesiącach i latach takie projekty będą tworzyć wtyczki i ulepszenia przeglądarek i systemów operacyjnych w celu rozwiązania niektórych z tych problemów, ale rozwiązania te nie są obecnie w pełni dostępne.
  4. W międzyczasie pamiętaj o korzystaniu z VPN. Chroni cię przed niektórymi możliwymi sposobami, w jaki osoba atakująca może spróbować użyć sfałszowanego certyfikatu SSL. Na przykład VPN znacznie utrudnia osobie atakującej manipulowanie wynikami DNS.

Dalsza lektura:

Co to są urzędy certyfikacji & Zaufaj hierarchiom? | GlobalSign
Projekt przejrzystości certyfikatu Google

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map