Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

AKTUALIZOVANÉ Autorita DigiNotar zrejme po úniku digitálnych certifikátov zanikne

Falošné SSL certifikáty boli vydané okrem Google aj pre CIA, MI6, Facebook, Yahoo, Windows Update a ďalšie významné webové stránky. Certifikačná autorita DigiNotar stratila dôveru väčšiny autorov prehliadačov, niektorí experti predpovedajú jej zánik.

O aký útok išlo?

Po útoku na holandskú certifikačnú autoritu - DigiNotar došlo k vydaniu väčšieho množstva podvodných digitálnych certifikátov, ako bolo pôvodne známe. Tieto certifikáty však nebolo možné bežnými postupmi rozoznať od legitímnych. DigiNotar totiž patrí medzi dôveryhodných vydavateľov, a tak ju vnímali aj všetci autori najpoužívanejších internetových prehliadačov, e-mailových programov, či operačných systémov. Ide prinajmenšom už o druhý útok počas posledných piatich mesiacov, kedy sa útočníci dokázali zmocniť legitímnych digitálnych certifikátov.

V kauze bolo najskôr známe najmä vydanie podvodného digitálneho certifikátu pre Google využiteľného najmä pri službe Gmail. Tento certifikát mohol útočníkom umožniť odchyt prihlasovacích údajov, bez toho, aby boli obete upozornené varovaním prehliadača, pri návšteve phishingovej webovej stránky. Jedná sa o tzv. Man-in-the-middle - MITM útok („Človek resp. špión uprostred“ legitímnej komunikácie). Samozrejme na presmerovanie užívateľov bolo nutné pozmeniť DNS záznamy, o tie sa najčastejšie stará poskytovateľ internetového pripojenia (ISP). Tento krok však v istých krajinách, ako je napríklad aj Irán, nepredstavuje veľký problém. Zvlášť ak je útok zaštítený vládou danej krajiny. Pozmeniť ich však možno aj lokálne, na konkrétnom počítači obete. Podvodný DNS záznam, ktorý odkáže po preklade doménového názvu google.com nič netušiaceho užívateľa na IP adresu servera s falošnou verziou webovej stránky, tváriacej sa ako originál Google, v spojení s falošným SSL certifikátom, ktorému dôveruje aj internetový prehliadač, predznamenáva vysokú efektivitu útoku a veľmi ťažkú detekciu s doslova katastrofálnymi následkami. Útočník mohol získať prístup k e-mailom obetí, k ich IM komunikácií, prinútiť ich k stiahnutiu a inštalácií backdoorov a následne si tak sprístupniť plný obsah diskov. V krajinách ako Irán znamenajú tieto kroky najväčšie riziko pre disidentov.

Zástupcovia spoločnosti Google v tomto prípade poskytli vyhlásenie, že podvodný certifikát bol určený najmä iránskym používateľom. Aj napriek tomu, že prehliadač Google Chrome podvodný certifikát detegoval k zneužitiu reálne došlo.

Certifikačná autorita DigiNotar

Certifikačná autorita DigiNotar odhalila prienik v rámci svojich štruktúr 19. júla vďaka bezpečnostnému auditu. Hovorca DigiNotar informoval, že došlo aj k vytvoreniu podvodných certifikátov pre ďalšie desiatky webových stránok. No v súčasnosti má ísť podľa známych informácií už o stovky, predpokladá sa, že bolo vydaných viac než 500 podvodných SSL certifikátov. Väčšina falošných certifikátov bola ihneď po odhalení znefunkčnená, no certifikát pre Google vydaný 10. júla bol zrušený až 29. augusta. DigiNotar následne spustila ďalší audit, ktorý má odhaliť ako došlo k samotnému prieniku a až do objasnenia celého incidentu zastavila výdaj digitálnych certifikátov.

Tvorcovia prehliadačov už DigiNotar neveria, zasiahnutých je množstvo webov

Na túto udalosť promptne zareagovali aj výrobcovia prehliadačov, ktorí vydali aktualizácie trvalo a kompletne deaktivujúce certifikáty DigiNotar. Mozilla a Google chcú blokovať akékoľvek certifikáty DigiNotar, dokonca aj tie, ktoré boli vydané pre holandskú vládu. Zdá sa tak, že DigiNotar už nikto neverí. Jeremiah Grossman, CTO spoločnosti WhiteHat Security označil opatrenia po odhalení útoku za „efektívnu smrť pre DigiNotar.“ Kauza tak podľa všetkého znamená definitívny koniec tejto certifikačnej autority.

Gervase Markham, vývojár spoločnosti Mozilla tvrdí, že v súčasnosti je v obehu minimálne 531 falošných digitálnych certifikátov od DigiNotar. Ďalej upozorňuje, že okrem Google sú zasiahnuté aj webové stránky Microsoftu, Skype, Yahoo, Facebooku, Twitteru, ale i služba Windows Update. Riziku sú vystavené dokonca i spravodajské služby americká CIA, britská MI6 a izraelský Mossad. Markham sa vo svojich špekuláciách pohráva aj s myšlienkou, že sieť DigiNotar napadli dve nezávislé hackerské skupiny po sebe. Spoločnosť F-Secure dokonca informovala, že zachytila isté indície o napadnutí siete DigiNotar už v máji 2009. Pochybenie tejto certifikačnej autority je tak veľmi vysoké. Pri procese zabezpečenia svoje infraštruktúry a následnej detekcie útoku silne zlyhala.

Podľa bezpečnostných odborníkov a spoločnosti Google padá podozrenie z autorstva útoku na iránskych hackerov, pravdepodobne podporovaných tamojšou vládou.

Holandsko skúma, či nedošlo aj k hacknutiu vládnych stránok

Holandská vláda v nedeľu avizovala, že preskúma, či Irán nie je zapojený do útokov na štátne webové stránky, zabezpečené certifikátmi, ktoré boli odcudzené. Vincent van Steen, hovorca ministerstva vnútra nekonkretizoval, či boli v tejto veci kontaktované aj iránske orgány. Ďalšie podrobnosti majú byť známe z listu holandského parlamentu budúci týždeň. V zásade však momentálne bezpečnosti holandských vládnych stránok nemožno dôverovať. Celý incident už v súčasnosti prešetruje aj holandská tajná služba.

Kompromitovaných bolo asi 300 000 iránskych IP adries

Zrejme až 300 000 iránskych unikátnych IP adries pristúpilo k doméne google.com prostredníctvom podvodného digitálneho certifikátu odcudzeného autorite DigiNotar. Vyplýva to z auditu bezpečnostnej spoločnosti Fox-IT. Z celkového množstva prístupov tak až vyše 99% tvoria iránski používatelia. Čo sa týka IP adries mimo Irán, išlo najmä o výstupné uzly siete Tor, či obdobných proxy systémov a VPN sieti. Z analýzy spoločnosti Trend Micro vyplýva, že značná časť používateľov z Iránu využívajúcich certifikát DigiNotar bola aktívna 28. augusta, no 30. augusta už veľká časť inkriminovanej sieťovej prevádzky „zmizla“ a 2. septembra sa zastavila úplne.

Google kontaktuje zasiahnutých užívateľov

Spoločnosť Google vyhlásila, že iránskych užívateľov, ktorých sa tento incident týka kontaktuje a odporučí im ďalšie kroky. Medzi odporúčaniami je zmena hesla k účtu, verifikovanie možností obnovenia účtu v prípade straty hesla a overenie stránok, či aplikácií, ktoré majú mať povolenie pristupovať k užívateľovmu Google účtu.

K útoku sa prihlásil Comodohacker, tvrdí, že má stále prístup k ďalším autoritám, konkretizoval GlobalSign

Údajný hacker, ktorý sa hlási k odcudzeniu certifikátov DigiNotar zverejnil varovanie prostredníctvom služby Pastebin pod názvom „Comodohacker.“ Rovnaký účet bol použitý aj na opis útoku, v ktorom bola cieľom spoločnosť Comodo so svojimi SSL certifikátmi. Dotyčný opísal v rozhovore sám seba ako 21 ročného iránskeho študenta. Avšak ťažko povedať, či možno týmto vyhláseniam dôverovať. Údajným motívom tohto hackera mal byť trest holandskej vlády za činy svojich vojakov v Srebrenici, kde bolo roku 1995 počas bosnianskej vojny zabitých 8000 moslimov srbskými silami.

Priznanie tohto útočníka spochybňuje Mikko Hypponen zo spoločnosti F-Secure. Hovorí, že je to záhada. Pýta sa: Ako sa od hacku jednotlivca dostaneme až k odposluchu iránskych občanov, ktorý mal taký široký rozsah?

Comodohacker vo vyhlásení napísal, že získal prístup aj k ďalším štyrom certifikačným autoritám. Konkrétne menoval široko používanú autoritu GlobalSign.

Obchodný riaditeľ GlobalSign Steve Roylance oznámil, že spoločnosť zahájila vyšetrovanie, no zatiaľ neexistuje žiadny konkrétny dôkaz nasvedčujúci prienik. Avšak zdôraznil, že vyhlásenie hackera berú veľmi vážne. Spoločnosť dokonca dočasne pozastavila vydávanie všetkých digitálnych certifikátov až do doby, kedy neukončí vyšetrovanie.

Comodo hacker ďalej tvrdí, že v minulosti hackol aj ďalšiu certifikačnú autoritu - SmartCom, no naznačil, že útok nebol úspešný. Technický riaditeľ SmartCom - Eddy Nigg, potvrdil, že spoločnosť detegovala pokus o útok júni, no zablokovala ho, a tak nedošlo k vydaniu žiadneho podvodného certifikátu.

Comodohacker údajne ukradol aj veľké množstvo dát GlobalSignu

Okrem pôvodného vyhlásenia, útočník pod prezývkou Comodohacker ďalej tvrdí, že mal prístup k celému serveru GlobalSign, vrátane záloh databáz a konfigurácií systému. Obdobne sa mu podarilo získať aj prístup k dátam izraelskej certifikačnej autority SmartCom. Malo ísť o e-maily, databázy a zálohy s informáciami o zákazníkoch.

Hacker zverejnil aj podrobnosti o útoku na DigiNotar. Ich HSM - hardvérový bezpečnostný modul mal bežať na OpenBSD a mal otvorený len jeden port. Ten bol chránený pomocou RSA SecurID. Nie je však jasné, či tento popis v skutočnosti zodpovedá systémom DigiNotar.

Comodohacker tiež tvrdí, že vyhlásenia spoločnosti Microsoft o nemožnosti zneužiť SSL certifikát pre windowsupdate.com sú klamstvo a pokojne mohol vydávať aktualizácie určené užívateľom operačného systému Windows prostredníctvom Windows Update. Microsoft tvrdenia odmietol komentovať.

Microsoft pôvodne prehlásil, že nie je možné aby útočníci vydávali aktualizácie pre Windows v ich mene, a tak šírili malware prostredníctvom Windows Update.

"Útočníci nie sú schopní využiť podvodné Windows Update certifikáty na inštaláciu malware cez servery Windows Update," povedal Jonathan Ness, inžinier z Microsoft Security Response Center (MSRC). "Klient systému Windows Update bude inštalovať iba podpísané binárne aktualizácie so skutočným Microsoft Root certifikátom, ktorý je vydávaný spoločnosťou Microsoft." Navyše Microsoft už nevyužíva doménu windowsupdate.com, pre ktorú boli vydané podvodné SSL certifikáty, ale doménu windowsupdate.microsoft.com.

Podľa mnohých odborníkov je Comodohacker značne podporovaný a „sponzorovaný“ iránskou vládou, myslí si to aj generálny riaditeľ spoločnosti Comodo - Melih Abdulhayoglu.

Na smartphonoch je problém revokovať podvodné SSL certifikáty

Zatiaľ čo na celý incident veľmi rýchlo reagovali tvorcovia prehliadačov, pri mobilných zariadeniach je situácia odlišná. Mobilné zariadenia s operačnými systémami Android, či IOS môžu byť stále v ohrození. Zástupcovia Apple sa bližšie k problému nevyjadrili. Google síce ruší podvrhnuté certifikáty, no nemá to ľahké, kvôli rozšírenosti Androidu na rôzne platformy od rôznych výrobcov.

Google nemôže pre Android vydať jednotnú aktualizáciu riešiacu problém globálne. Jeho verziu si totiž každý výrobca zariadenia modifikuje na „svoj obraz“ a užívatelia sú tak odkázaní na aktualizácie od výrobcov daného zariadenia, alebo od mobilného operátora. A tento proces je veľmi dlhý, ak vôbec k nemu dôjde.

Zdá sa že veľkú výhodu má mobilný systém od spoločnosti Microsoft, tá totiž DigiNotar nepridala v systéme Windows Mobile medzi dôveryhodné certifikačné autority. Podobne pozitívne by na tom mala byť aj väčšina zariadení BlackBerry.

Symantec: naše certifikačné autority ostávajú bezpečné

Spoločnosť Symantec reaguje na paniku okolo certifikačných autorít. Symantec garantuje, že ich certifikačné autority VeriSign, Thawte, GeoTrust a RapidSSL sú bezpečné. Práve okolo Thawte sa objavili isté pochybnosti. Za potenciálne nebezpečnú ju označila holandská vládna agentúra. „Toto tvrdenie však vôbec nie je správne,“ hovorí viceprezident Symantec Trust Services.

Mozilla chce, aby všetky certifikačné autority akceptované jej prehliadačom ako dôveryhodné prešli bezpečnostným auditom

Spoločnosť Mozilla „nariadila“ všetkým autoritám, ktoré považuje vo svojich produktoch Firefox a Thunderbird za dôveryhodné bezpečnostné audity. V číslach ide o 54 certifikačných autorít so 147 koreňovými certifikátmi. Kathleen Wilson, ktorý dohliada na koreňové certifikáty používané Mozillou vyhlasuje, že dáva autoritám 8 dní na to, aby predložili presvedčivé materiály dokazujúce ich bezpečnosť. Tiež vyzýva všetkých, ktorí majú akékoľvek informácie o možných rizikách koreňových certifikátov, aby čo najrýchlejšie informovali Mozillu.

Odcudzenie certifikátov DigiNotar predstavovalo pre Mozillu veľké nepríjemnosti, pretože medzi ohrozené stránky patrila aj doména addons.mozilla.org, ktorá je veľmi často využívaná k sťahovaniu najrôznejších rozšírení pre Firefox. Útočníci mohli obetiam podsunúť infikované pluginy, a tak vystaviť riziku veľké množstvo ľudí.

Mozilla chce urobiť maximum pre ochranu užívateľov nechala sa počuť, že je plne na jej uvážení aké certifikačné autority označí za dôveryhodné. Plánuje realizovať všetky kroky pre maximálnu bezpečnosť svojich užívateľov. Certifikačným autoritám dáva čas do 16. septembra. Požaduje po nich hneď niekoľko záruk. Medzi ne patrí zaručenie, že nedošlo k žiadnym bezpečnostným incidentom, zostavenie komplexného zoznamu nimi vydaných koreňových certifikátov, ale aj zaručenie multifaktorovej autentifikácie pred vydaním legitímneho SSL certifikátu.

Google neplánuje žiadať certifikačné autority o podobné záruky pre prehliadač Chrome. Podobne je na tom aj Microsoft, taktiež zatiaľ tieto opatrenia aplikovať nebude.

Ako zmení incident budúcnosť?

Bezpečnostný expert Moxie Marlinspike, ktorý je označovaný za častého kritika SSL zabezpečenia, pre média povedal, že táto udalosť nie je veľkým prekvapením. Podľa neho dochádza k podobnej činnosti neustále a len teraz je rozdiel v tom, že si útok niekto všimol.

Incident podlomil celkovú dôveru SSL mechanizmu, avšak mnohí obchodní partneri tvrdia, že to môže posilniť bezpečnostné normy pre partnerstvo certifikačných autorít a zároveň aj potrebu alternatívnych overovacích mechanizmov vrátane detekcie zraniteľností.

Často sa vynárajú otázky typu: Ak nemôžete veriť dôveryhodnej autorite, komu môžeme dôverovať? Ak ani dôveryhodná organizácia nemôže urobiť dosť v tomto smere, tak na koho iného sa ešte spoliehať? Konkrétne tieto vyjadrenia adresuje David Sockol, prezident spoločnosti Emagined Security.

Reakcie ľudí zasvätených do danej problematiky teda svedčia o fakte, že spoločnosti sa často spoliehajú v tomto smere iba na technológiu SSL. Do budúcnosti bude nevyhnutným krokom hľadať riešenia aj v rámci iných technológií. Tu sa ponecháva priestor otvorený samotnému trhu. DigiNotar totiž nie je jediná autorita s problémami, podobné ťažkosti zasiahli v minulosti aj spoločnosť Comodo, no nie v takomto rozsahu. Spoločnosti by sa mali viac zamerať aj na výber tej správnej certifikačnej autority, pretože nie každá aplikuje rovnaké postupy. O samotnú bezpečnostnú politiku danej autority by sa mali jej klienti veľmi intenzívne zaujímať.

Zdroje: theregister.co.uk, networkworld.com, computerworld.com, crn.com


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Crypto-world.info