Фалшиви сертификати заплашват потребителите

Илияна Димитрова | 11 април 2011 | IT Сигурност | Няма коментари

На 23-ти март 2011 година, Microsoft предупреди за издадени 9 фалшиви дигитални сертификата от световно утвърденото Certification Authority COMODO на страна с непотвърдена идентичност.
Уеб сертификатите засягат услугата Microsoft Live, мейл системата на Google, както и достъпа до Yahoo и Skype. Пълен списък на издадените фалшиви сертификати:

login.live.com
mail.google.com
www.google.com
login.yahoo.com (3 сертификата)
login.skype.com
addons.mozilla.org
“Global Trustee”

Както е известно, дигиталните сертификати се изпозват за криптиране на връзката към даден уеб сайт и по-важното – доказват идентичността на сайта. Поради тази причина въпросните фалшиви сертификати дават възможност на притежателите им да злоупотребяват с потребителите на съответните сайтове и услуги, ако успеят да ги пренасочат към подправена страница. За потребителите страницата изглежда напълно легитимна, тъй като сертификатът, който я идентифицира е издаден от легитимното Certification Authority – COMODO.

Съществува сравнително познат сценарий за „кражба“ на потребителски имена и пароли за gmail и facebook. В него главна роля играе фалшива страница, идентична с външния вид на техните страници за login. В този случай не е необходим сертификат, тъй като при login фалшивата страница събира информация за потребителското име и парола и прехвърля към истинската, която разполага със сертификат. Потребителят може да разбере измамата – адресът на измамния интерфейс без сертификат започва с “http”, вместо “https” за криптирана страница. За да бъде направено това са необходими много усилия и много познания.

В случая с COMODO фактите са много по-притеснителни, тъй като са издадени валидни сертификати на потенциални нападатели, а самата компания COMODO е сред организациите, фигуриращи в Trusted Root Certification Authorities Store за всички поддържани версии на Windows, други операционни системи, уеб браузъри и мобилни устройства.

Този сценарий позволява злоупотреба със съдържание, фишинг атаки, man-in-the-middle атаки срещу всички сърфиращи в мрежата.

От COMODO са взели незабавни действия, като са анулирали фалшивите сертификати и са ги е добавили в списъка с невалидни такива (Certificate Revocation List (CRL). Отделно, браузъри, които са позволили Online Certificate Status Protocol (OCSP), ще разпознаят тези сертификати и ще ги блокират от употреба.

В блогът The Tor Project се твърди, че при някои браузъри въпросното анулиране не върши работа. В същия пост се доказва, че Google и Mozilla са се погрижили ненадеждните сертификати се разпознават и блокират съотвенто за Ghrome и Firefox.

Mozilla потвърждава, че фалшивите сертификати са добавени в черния списък и предупреждава за възможните рискове:

„Потребителите в компроментирана мрежа могат да бъдат пренасочени чрез фалшивите сертификати към сайтове, които изглеждат напълно легитимни. Това може да доведе до излагането на лична информация като потребителски имена и пароли, както и да подведе потребителите да свалят malware като вярват, че те идват от достоверни сайтове.“.

Microsoft от своя страна публикува обновление за поддържаните версии на Windows за да помогне да се адресира проблема и подчертава, че не се изискват никакви действия от потребители, които са настроили своите операционни системи да инсталират автоматично обновления. Компанията е осигурила и инструкции за ръчно обновяване на софтуера.

В блога на COMODO е публикуван отчет за инцидента, в който се казва, че атаката произлиза от IP адрес в Иран. Нападателите са придобили потребителско име и парола на партньор на Comodo в Южна Европа и са използвали данните за да издадат фалшивите сертификати. Още не са изяснени детайли за пробива, но е ясно, че онлайн акаунти на същия партньор на COMODO са били компроментирани по същото време. Нападателите все още са използвали акаунта когато атаката е била разкирта и са взети съответните мерки.

IP адресите на нападателите водят до Интернет доставчик в Иран. Има голяма вероятност това да е подвеждаща следа, оставена целенасочено от извършителите. Според COMODO, полза от такъв пробив имат правителствени организации, имащи интерес да наблюдават използването на Интернет от противници на режима. Атаката е извършена по време на размирици и протести в Северна Африка и близките държави, в които социалните мрежи се идентифицират като мощен инструмент за организиране на протести и на неформални общности.

Обобщена извадка на резултатите от проучването на инцидента:

Косвени улики сочат Иран като източник на атаката;
Извършителите са се фокусирали върху комуникационната инфраструктура, а не върху финансовата както типичните кибер престъпници биха;
Извършителите биха могли да използват придобитите сертификат, само ако имат контрол върху DNS заявките за дадена мрежа или област;
Атаката е била проведена с „клинична точност“;
Иранското правителство наскоро атакува и други методи за криптирана комуникация;
Всичко това води към един извод – много вероятно е атаката да е контролирана от правителство

Коментари и съвети към потребителите от COMODO можете да намерите в техния форум.

Ако сте потребител можете да:

Се доверите на Google и Mozilla;
Да попитате системния за обновяването на използвания Microsoft софтуер;
Да спазвате златното правило: „Отнасяйте се към паролата си като към четката си за зъби. Не позволявайте на никой друг да я използва и си взимайте нова на всеки три месеца.“

Ако сте ИТ специалист по сигурността можете да се сдобиете с истински сертификат за:

Certified Ethical Hacker
Computer Hacking Forensics Investigator
Certified Information System Security Professional
в учебния или сертификационния ни център.

Източници:
http://www.zdnet.com/blog/
http://www.microsoft.com/technet
https://forums.comodo.com
https://blog.torproject.org

Интересувате се от темата? Пишете ни!