Falešné certifikáty odhalují chyby v bezpečnosti internetu

Závažné porušení u nizozemského dodavatele digitálních certifikátů způsobilo, že někteří bezpečnostní experti zpochybnili infrastrukturu, která je základem bezpečnosti internetu.

Toto porušení umožnilo neznámým útočníkům vydat nejméně 531 podvodných certifikátů pro hlavní domény, včetně Google.com, Microsoft.com a Yahoo.com. Certifikáty mají ověřovat pravost webu pro webový prohlížeč návštěvníka; toto ověření brání útočníkovi v použití falešné adresy domény ke krádeži dat. Certifikáty obsahují zašifrovaná data, která umožňují prohlížečům a dalšímu softwaru potvrdit, že web je legitimní. Zkompromitováním digitálního certifikátu se tedy útočník může vydávat za zabezpečený web, jako je Gmail od Googlu, a zachytit komunikaci nebo obejít bezpečnostní mechanismy a nainstalovat škodlivý software.

Co je zde neobvyklé, není to, že došlo ke kompromitaci certifikační autority, ale že si toho někdo všiml, říká Moxie Marlinspike, hlavní technologický ředitel a spoluzakladatel společnosti Whisper Systems, která se zaměřuje na zabezpečení mobilních komunikací. To se děje pořád.

Kompromitovaná certifikační společnost, DigiNotar, je jednou z asi 650 společností, známých jako certifikační autority nebo CA, které jsou důvěryhodné při vydávání certifikátů. Začátkem tohoto roku jiná certifikační autorita, Comodo, uznala, že útočník prolomil zabezpečení jejích systémů a vydal nejméně devět certifikátů pro velké domény, včetně Google, Skype a Yahoo. Na konferenci Black Hat Security Conference v srpnu Marlinspike kritizoval současný systém certifikačních autorit a nabídl jiný model, známý jako Konvergence, založený na modelu důvěry typu peer-to-peer.

Argumentovala Electronic Frontier Foundation, skupina pro digitální práva v analýze zveřejněné tento týden, že nedávné průlomy naznačují, že volba, zda důvěřovat certifikační autoritě, by měla ležet na uživateli, nikoli na prodejcích prohlížečů nebo webech.

Zdá se, že tyto CA existují v jurisdikcích přibližně 50 zemí, píší autoři zprávy. Kterákoli z těchto zemí by mohla přimět CA, aby vytvořila podvodné certifikáty pro účely špionáže nebo špehování občanů dané země.

Nejnovější útok ukazuje, že jediné narušení může mít dalekosáhlé účinky. A předběžná zpráva nizozemská bezpečnostní firma Fox-IT na začátku září zjistila, že vetřelci využili významné slabiny v zabezpečení sítě DigiNotar, včetně jediného účtu schopného ovládat všechny její certifikační servery a používat slabé heslo pro přístup k účtu. Firma zjistila, že více než 300 000 jedinečných IP adres – téměř výhradně z Íránu – se setkalo s jedním podvodným certifikátem vydaným pro doménu Google. Apple, Google, Microsoft a Mozilla již aktualizovaly svůj prohlížeč tak, aby nedůvěřoval jakémukoli certifikátu podepsanému DigiNotarem.

Nizozemská vláda, která se pro svou šifrovanou komunikaci spoléhá na digitální podpisy vydané DigiNotarem, převzala certifikační operace společnosti. Kromě toho vyšetřuje, zda by zaměření na íránské uživatele mohlo naznačovat, že do útoku mohla být zapojena vláda země.

Certifikační systém funguje, ale potřebuje se více zaměřit na bezpečnost, říká Amar Doshi, senior manažer certifikačních produktů bezpečnostní firmy Symantec, která získala a nyní spravuje certifikační autoritu VeriSign.

Všechny události posledních několika týdnů skutečně ukazují, že „cert je cert je cert“ ve skutečnosti neplatí, říká Doshi. Mezi certifikáty jsou rozdíly. Mezi CA jsou rozdíly.

Zdá se, že někteří výrobci prohlížečů jsou připraveni se na tyto rozdíly zaměřit. Minulý týden Mozilla Foundation, skupina, která spravuje vývoj prohlížeče Firefox, poskytla certifikačním autoritám seznam bezpečnostních kontrol, které mají dokončit za osm dní. Uvedlo, že jakýkoli orgán, který nevyhoví žádosti, může najít jakékoli jimi vydané certifikáty, které Mozilla považuje za nedůvěryhodné.

Účast v kořenovém programu Mozilly je na našem výhradním uvážení a podnikneme veškeré kroky nezbytné k zajištění bezpečnosti našich uživatelů, Kathleen Wilson, programová manažerka zodpovědná za modul certifikátů CA společnosti Mozilla, řekl v e-mailu certifikačním autoritám.

skrýt