Viltus sertifikāti atklāj interneta drošības trūkumus

Nīderlandes digitālo sertifikātu piegādātāja nopietna pārkāpuma dēļ daži drošības eksperti ir apšaubījuši infrastruktūru, kas ir interneta drošības pamatā.





Pārkāpums ļāva nezināmiem uzbrucējiem izsniegt vismaz 531 krāpniecisku sertifikātu lielākajiem domēniem, tostarp Google.com, Microsoft.com un Yahoo.com. Sertifikātiem ir jāapstiprina vietnes autentiskums apmeklētāja tīmekļa pārlūkprogrammā; šī pārbaude neļauj uzbrucējam izmantot viltotu domēna adresi datu zagšanai. Sertifikāti satur šifrētus datus, kas ļauj pārlūkprogrammām un citai programmatūrai apstiprināt, ka vietne ir likumīga. Tādējādi, apdraudot digitālo sertifikātu, uzbrucējs var uzdoties par drošu vietni, piemēram, Google Gmail, un pārtvert sakarus vai apiet drošības mehānismus un instalēt ļaunprātīgu programmatūru.

Šeit neparasti ir nevis tas, ka tika apdraudēta sertifikācijas iestāde, bet gan tas, ka kāds to pamanīja, saka Moksija Marlinspika, Whisper Systems galvenā tehnoloģiju vadītāja un līdzdibinātāja, uzņēmuma, kas koncentrējas uz mobilo sakaru drošību. Tas notiek visu laiku.

Kompromitētais sertifikātu uzņēmums DigiNotar ir viens no aptuveni 650 uzņēmumiem, kas pazīstami kā sertifikācijas iestādes jeb CA, kuriem uzticas sertifikātu izsniegšana. Šī gada sākumā cita sertifikācijas iestāde Comodo atzina, ka uzbrucējs ir pārkāpis tās sistēmu drošību, un izsniedza vismaz deviņus sertifikātus lieliem domēniem, tostarp Google, Skype un Yahoo. Melnās cepures drošības konferencē augustā Marlinspiks kritizēja pašreizējo sertifikātu izsniegšanas iestāžu sistēmu un piedāvāja atšķirīgu modeli, kas pazīstams kā konverģence, pamatojoties uz vienādranga uzticības modeli.



Digitālo tiesību grupa Electronic Frontier Foundation iebilda analīzē šonedēļ tika publicēts, ka nesenie ielaušanās gadījumi liecina, ka izvēle, vai uzticēties sertifikācijas iestādei, ir jāizlemj lietotājam, nevis pārlūkprogrammu pārdevējiem vai vietnēm.

Šķiet, ka šīs CA pastāv aptuveni 50 valstu jurisdikcijās, raksta ziņojuma autori. Jebkura no šīm valstīm varētu piespiest SI izveidot krāpnieciskus sertifikātus spiegošanas vai šīs valsts pilsoņu izspiegošanai.

Jaunākais uzbrukums parāda, ka vienam pārkāpumam var būt tālejošas sekas. A provizoriskais ziņojums Nīderlandes drošības firma Fox-IT septembra sākumā atklāja, ka iebrucēji izmantoja ievērojamas DigiNotar tīkla drošības nepilnības, tostarp vienu kontu, kas spēj kontrolēt visus tā sertifikātu serverus un izmanto vāju paroli konta piekļuvei. Uzņēmums atklāja, ka vairāk nekā 300 000 unikālu IP adrešu — gandrīz pilnībā no Irānas — ir konstatēts viens krāpniecisks sertifikāts, kas izsniegts Google domēnam. Apple, Google, Microsoft un Mozilla jau ir atjauninājuši savu pārlūkprogrammu, lai neuzticētos nevienam DigiNotar parakstītajam sertifikātam.



Nīderlandes valdība, kas paļaujas uz DigiNotar izdotajiem digitālajiem parakstiem šifrētajiem sakariem, ir pārņēmusi uzņēmuma sertifikātu darbības. Turklāt tiek izmeklēts, vai koncentrēšanās uz Irānas lietotājiem varētu liecināt, ka uzbrukumā varētu būt iesaistīta valsts valdība.

Sertifikātu sistēma darbojas, taču tai ir jāpievērš lielāka uzmanība drošībai, saka Amārs Doši, vecākais sertifikātu produktu vadītājs drošības uzņēmumā Symantec, kas iegādājās un tagad pārvalda sertifikātu iestādi VeriSign.

Visi pēdējo pāris nedēļu notikumi patiešām parāda, ka “sertifikāts ir sertifikāts, tas ir sertifikāts” īsti neattiecas, saka Doši. Pastāv atšķirības starp sertifikātiem. Pastāv atšķirības starp CA.



Šķiet, ka daži pārlūkprogrammu ražotāji ir gatavi pievērsties šīm atšķirībām. Pagājušajā nedēļā Mozilla Foundation, grupa, kas pārvalda pārlūkprogrammas Firefox izstrādi, sertifikātu iestādēm iesniedza drošības pārbaužu sarakstu, kas jāpabeidz astoņu dienu laikā. Tajā teikts, ka jebkura iestāde, kas neizpildīs pieprasījumu, var konstatēt, ka tās izdotie sertifikāti, ko Mozilla uzskata par neuzticamiem.

Piedalīties Mozilla saknes programmā mēs varam pēc saviem ieskatiem, un mēs veiksim visus nepieciešamos pasākumus, lai nodrošinātu mūsu lietotāju drošību, Ketlīna Vilsone, programmas vadītāja, kas atbild par Mozillas CA sertifikātu moduli, teikts e-pastā sertifikātu iestādēm.

paslēpties