Sérült tanúsító hatóságok: Hogyan lehet megvédeni magát

Az elmúlt néhány hétben a DigiNotar, a holland igazolási hatóság a hírekben volt a júliusi visszaélés nyomán. Ez egy nagy történet volt, mert egy valós életbeli példát mutatott egy nagyon súlyos biztonsági problémáról, amely mindenkit érinthet online. Ez néhány hónappal egy korábbi hasonló esemény után történt, amikor a Comodo leányvállalatának is volt jogsértése, és csalárd igazolásokat adtak ki. Itt röviden áttekintem a történt eseményeket, néhány alapot a tanúsítványok működésére, és azt, amit informatikai szakemberként megtehetsz, hogy megvédje felhasználóit a fenti és más hasonló megsértésektől.

Először valószínűleg tudja, hogy az SSL kapcsolat létrejöttéhez tanúsítványt kell bevonni. Ezeket a tanúsítványokat önmagában nem lehet kiállítani, különben senki nem bíz meg benne. Ezeket az önaláírt tanúsítványoknak nevezzük, és a termelési környezet szempontjából semmiféle hasznuk sincs. Ehelyett egy biztonságos webhelyet létrehozni kívánó rendszergazda létrehozza az úgynevezett igazolás-aláírási kérelmet (CSR), amely nagyon specifikus információkat tartalmaz a működtetett webhelyről, az egyén vagy vállalkozás személyazonosságáról és elérhetőségéről. Ezután továbbítják ezt a kérést egy megbízható tanúsító hatóságnak (CA).

Ez a CA, vagy gyakrabban valamely leányvállalata, majd saját magánkulccsal generálja az aláírt tanúsítványt, miután meggyőződött arról, hogy jogosult-e tanúsítványra az adott domain névhez. A saját tanúsítványaikhoz viszont magasabb hitelesítésszolgáltató bízhat meg, amely viszont az összes népszerű webböngészőben megbízható. Ez az úgynevezett Tanúsítványhierarchia .

A ábra

És itt rejlik a probléma. Több száz ilyen megbízható hitelesítésszolgáltató található böngészőinkben, és mindegyik igazolást képes készíteni az interneten lévő bármely webhelyre. Ez azt jelenti, ha bármelyikük feltörése megtörténik, és a magánkulcsot szabadon engedik el, a hacker bármilyen webhelyhez létrehozhat tanúsítványt, és minden böngészőnk érvényesnek látja. Sőt, még rosszabb, hogy bármilyen felhasználású tanúsítványt elkészíthetnek, beleértve az e-mailek aláírását, a VPN-kapcsolatok titkosítását stb.

De mi a támadásvektor ezzel? Az ilyen tanúsítványok használatához a hackereknek el kell szakítaniuk a forgalmat és be kell helyezniük saját hamis tanúsítványukat a Man-in-the-Middle (MitM) támadásba. A DigiNotar esetében pontosan ez történt. Az iráni kormány proxykiszolgálókkal rendelkezik, amelyeken keresztül az ország teljes forgalma áthalad. Egy ilyen tanúsítvánnyal azt jelentette, hogy hirtelen hozzáférhetnek minden felhasználó Gmail-fiókjához, bankszámlájához vagy bármilyen titkosított kapcsolathoz, amelyet az országban szeretnének, mivel rendelkeznek egy megbízható hatóság privát kulccsal, majd CSR-t bocsáthatnak ki minden webhelyre akartak.

Ennek valódi megoldása bonyolult, például az Online Security Certificate Protocol (OSCP) széles körű használata vagy a bizalmi hálózatok használata, és az Internet működésének jelentős átalakítását igényli. Egyelőre a böngésző gyártói azon a módon foglalkoznak, hogy egy esemény bekövetkezése után felfrissüljenek. A DigiNotar megsértése óta minden népszerű böngészőt frissítettünk, és megszüntettük a CA iránti bizalmat. Ez azt jelenti, hogy a DigiNotar által aláírt tanúsítvánnyal rendelkező webhelyek már nem működnek Firefox, Chrome, IE vagy Safari böngészőben. De ez aligha jó megoldás. Több mint egy hónap telt el az eredeti megsértés és a javítások között.

A fenyegetés enyhítése

Időközben vannak dolgok, amelyeket meg lehet tenni. Először: ha zárt helyen tartózkodik, ahol az emberek várhatóan csak nagyon konkrét helyekre látogatnak, akkor nincs értelme böngészőiknek megbízni a hongkongi postat, a kínai tanúsító hatóságot vagy számtalan más helyet. amelyet böngészője jelenleg bíz meg. Manuálisan be is jelentkezhet, és eltávolíthatja a bizalmat mindenben, kivéve a legnépszerűbb CA-kat.

B. ábra

De még ez sem biztos módszer a hackelés megakadályozására. Ezért vannak olyan kiterjesztések, amelyek helyszíni ellenőrzést végeznek annak biztosítása érdekében, hogy a tanúsítványok ne okozzanak változást. Az egyik ilyen kiterjesztés a CertPatrol for Firefox. Minden alkalommal, amikor egy biztonságos webhelyre látogat, tárolja a tanúsítvány ujjlenyomatát. Ezután, amikor visszatér, összehasonlítja az aktuális tanúsítványt a tároltával. Ezután figyelmeztet, ha valami gyanús történt. Például, ha egy webhely tanúsítványának még 6 hónapja volt a lejártát megelőzően, és hirtelen megváltoztatták, akkor ez gyanús lehet. És ami még rosszabb, ha egy olyan webhelyre járt, amelyet a VeriSign írt alá, és most egy norvég cég írta alá, amiről még soha nem hallottál, akkor ez egy nagy piros zászló.

Egy másik hasznos biztonsági intézkedés az volt, amit a Chrome fejlesztői hozzáadtak. Az összes Google-webhelyet néhány megbízható hatóság írta alá, és a Chrome tud róluk. Például a Chrome nem engedi, hogy csatlakozzon a Gmail-hez, ha rossz CA aláírta. Ha szervezete használja a Google Apps alkalmazást, ez jó ok lehet a Chrome-ra váltáshoz.

Végül, fontos megjegyezni, hogy az ilyen biztonsági probléma nem olyasmi, amelyet egyetlen helyre kell rögzíteni. Ennek kihasználása érdekében a hackereknek valamilyen módon is be kell adniuk magukat, akár rosszindulatú programok révén a felhasználói számítógépekbe, akár a hálózatba a tűzfalak áttörésével, vagy a felhasználók DNS-jének megváltoztatásával. A támadási vektorokat mindegyikhez biztosítani kell. Vannak olyan dolgok, mint például a statikus címek beállítása a DNS-kiszolgálókon a webhelyekhez, amelyekhez a felhasználóknak gyakran hozzáférniük kell, például a partnervállalatok, a bérszámfejtő portálok stb., Amelyek megakadályozzák, hogy bárki hamis tanúsítványt használjon, hogy becsapja valakit a a rossz webhely.

A DigiNotar megsértése megismétlődik. A világszerte megbízható CA-k százaiban ez lédús célpont, és a hackerek soha nem adják fel. De még ha az ilyen dolgokat is feltörik, ez nem jelenti azt, hogy Ön vagy a szervezete sebezhető. Ha felsorolok néhány dolgot, nagymértékben csökkentheti annak esélyét, hogy egy ilyen probléma befolyásolja a felhasználókat.

Olvassa el:

  • SSL / TLS titkosítás és az üres tétel átverés
  • SSL tanúsító hatóságok kezelése az OS X rendszeren

© Copyright 2020 | mobilegn.com