Στα τέλη Μαρτίου του 2015, σημειώθηκε σημαντική παραβίαση της ασφάλειας που συνεπάγεται μη εξουσιοδοτημένα ψηφιακά πιστοποιητικά που μοιάζουν με την Google. Το περιστατικό αυτό έχει σημαντικές συνέπειες για το πώς οι απλοί άνθρωποι αποφασίζουν ποιοι να εμπιστεύονται στο Διαδίκτυο.

Σε αυτήν την ανάρτηση, θα προσπαθήσουμε να εξηγήσουμε γιατί αυτό έχει σημασία για τους τελικούς χρήστες σαν εσάς.

Τι συνέβη, με λίγα λόγια

Η Google ανίχνευσε πιστοποιητικά SSL υψηλής ποιότητας για τους τομείς Google. Τα πλαστά ήταν τόσο καλά που θα μπορούσαν να ξεγελάσουν τα περισσότερα προγράμματα περιήγησης, επιτρέποντας πιθανώς σε έναν εισβολέα να μιμείται το Google και άλλους τομείς, ενδεχομένως ακόμη και να εξαπατά τους χρήστες να αποκαλύπτουν τους κωδικούς τους. Ευτυχώς, οι πλαστογραφίες υπήρχαν μόνο μέσα σε ένα κλειστό δοκιμαστικό περιβάλλον.

Η έκδοση τέτοιων πλαστών ψηφιακών πιστοποιητικών - ακόμη και σε περιβάλλον δοκιμών - υποτίθεται ότι είναι σχεδόν αδύνατη, χάρη στις αυστηρές διαδικασίες που εφαρμόζονται για την επαλήθευση της ταυτότητας των κατόχων πιστοποιητικών. Το γεγονός ότι αυτό συνέβη είναι συνεπώς μια πολύ μεγάλη υπόθεση, και αυτό σημαίνει ότι μπορεί να συμβεί ξανά και ότι πιθανότατα συνέβη ξανά για άλλους οργανισμούς, αλλά πέρασε απαρατήρητο.

Η Google αντιδρά με την ενημέρωση του προγράμματος περιήγησης Google Chrome, ώστε να μην έχει εμπιστοσύνη στη συγκεκριμένη εμπλεκόμενη αρχή πιστοποίησης (που ονομάζεται CNNIC). αφαιρεί τα πιστοποιητικά ρίζας του CNNIC από τα προϊόντα της. Η Mozilla (δημιουργός του Firefox) θα δυσπιστεί σε όλα τα νέα πιστοποιητικά CNNIC μέχρι την επιτυχή επανεισαγωγή του CNNIC για να συμπεριληφθεί στο κατάστημα ρίζας.

Ανανέωση: Δείτε τι συμβαίνει όταν επισκέπτεστε έναν ιστότοπο με έγκυρο πιστοποιητικό SSL

Θα βοηθήσει στην κατανόηση υψηλού επιπέδου για το τι συμβαίνει όταν πηγαίνουμε σε έναν ιστότοπο χρησιμοποιώντας https και το πρόγραμμα περιήγησης μας δείχνει ένα πράσινο σημάδι επιλογής ή κλειδώνει λέγοντας ότι αυτός ο ιστότοπος είναι ασφαλής.

1. Πληκτρολογείτε https://www.google.com στο πρόγραμμα περιήγησης ιστού σας.
2. Το πρόγραμμα περιήγησης ιστού σας αποκτά πρόσβαση σε έναν δημόσιο κατάλογο που ονομάζεται DNS για να αναζητήσει ποια διεύθυνση IP θα πρέπει να χρησιμοποιήσει για να επικοινωνήσει με το google.com.
3. Το πρόγραμμα περιήγησης ιστού σας επικοινωνεί με το διακομιστή στη διεύθυνση IP που έλαβε από το DNS.
4. Ο διακομιστής ανταποκρίνεται με ένα πιστοποιητικό SSL.
5. Το πρόγραμμα περιήγησης ιστού χρησιμοποιεί αυτό το πιστοποιητικό SSL για να επιτύχει δύο πολύ σημαντικά πράγματα:
   1. Επιβεβαιώνει την ταυτότητα του διακομιστή. Σε αυτήν την περίπτωση, επιβεβαιώνει ότι ο διακομιστής τρέχει πραγματικά από την Google. και
   2. Δημιουργεί ένα κρυπτογραφημένο κανάλι επικοινωνίας, έτσι ώστε τα δεδομένα που στέλνονται μεταξύ του προγράμματος περιήγησης και του διακομιστή να είναι κρυπτογραφημένα. Όποιος ακούει στο δίκτυο, μπορεί να δει ότι επικοινωνείτε με την Google, αλλά δεν μπορείτε να κοιτάξετε μέσα στο περιεχόμενο της επικοινωνίας σας.

Εάν το πιστοποιητικό SSL είναι έγκυρο, το πρόγραμμα περιήγησης θα εμφανίσει το οικείο πράσινο σημάδι ελέγχου ή το κλείδωμα στη γραμμή διευθύνσεων.

Αχ, η πράσινη κλειδαριά.

Ωστόσο, αν ένας εισβολέας κατόρθωσε να εξαπατήσει το πρόγραμμα περιήγησής μου για να επικοινωνήσει με έναν ψεύτικο διακομιστή, το πρόγραμμα περιήγησης θα παρατηρήσει ότι το πιστοποιητικό SSL είναι Μη έγκυρο, και θα σας δείξει μια προειδοποίηση ασφαλείας.

Εδώ είναι τι συμβαίνει όταν το πιστοποιητικό SSL είναι υψηλής πλαστογραφίας (υπαινιγμός: το πρόγραμμα περιήγησης δεν θα παρατηρήσει)

Γιατί η ανακοίνωση από την Google είναι τόσο σημαντική: η MCI Holdings κατόρθωσε να δημιουργήσει ψεύτικα πιστοποιητικά SSL για την Google, τα οποία ήταν τόσο ρεαλιστικά ώστε θα μπορούσαν να παραπλανήσουν τα περισσότερα προγράμματα περιήγησης ιστού να σκεφτούν ότι ένας ιστότοπος σε έναν πλαστό διακομιστή ήταν στην πραγματικότητα Google. Αυτό δεν πρέπει ποτέ να συμβεί. Αλλά όταν συμβαίνει, αυτό θα μοιάζει:

1. Πληκτρολογείτε https://www.google.com στο πρόγραμμα περιήγησής σας.
2. Ένας εισβολέας κόβει τον διακομιστή DNS σας για να σας δώσει λάθος διεύθυνση IP για το google.com. Θα μπορούσαν να το κάνουν αυτό εκμεταλλευόμενοι σφάλματα στον δρομολογητή του σπιτιού σας, σε άλλους δρομολογητές στο δίκτυο, σε σφάλματα στον ίδιο τον διακομιστή DNS (συνήθως τρέχουν από τον ISP σας) ή σε διάφορους άλλους τρόπους.
3. Το πρόγραμμα περιήγησης ιστού επικοινωνεί με τον ψεύτικο διακομιστή.
4. Ο ψεύτικος εξυπηρετητής αποκρίνεται με ένα πλαστό πιστοποιητικό SSL. Ωστόσο, το πιστοποιητικό είναι ένα τέτοιο ψεύτικο υψηλής ποιότητας που το πρόγραμμα περιήγησής σας θεωρεί έγκυρο.
5. Το πρόγραμμα περιήγησής σας θα εμφανίσει το πράσινο σημάδι ελέγχου ή το κλείδωμα στη γραμμή διευθύνσεων.
   1. Όταν το πιστοποιητικό SSL είναι ένα υψηλής ποιότητας, μη ανιχνεύσιμο πλαστό, εσύ και ο περιηγητής σου θα σκεφτεί κανείς ότι είναι στην πραγματικότητα GMail ...
6. Πληκτρολογείτε το όνομα χρήστη και τον κωδικό πρόσβασής σας Google σε έναν υψηλής ποιότητας κλώνο του GMail, αποστέλλοντάς τον έτσι στον εισβολέα, ο οποίος τώρα αποκτά τον έλεγχο όλων των δεδομένων της Google, συμπεριλαμβανομένων των μηνυμάτων ηλεκτρονικού ταχυδρομείου, των εγγράφων, των φωτογραφιών, των επαφών και οτιδήποτε άλλο συνδέεται με το λογαριασμό σας Google.

Πώς οι web browsers αποφασίζουν αν ένα πιστοποιητικό SSL είναι έγκυρο, ούτως ή άλλως?

Κάθε λειτουργικό σύστημα, έξυπνο τηλέφωνο και πρόγραμμα περιήγησης στον ιστό έρχονται προεγκατεστημένα με μια λίστα με μερικές δωδεκάδες εταιρείες ή κυβερνήσεις των οποίων οι ψηφιακές υπογραφές θα εμπιστεύονται αυτόματα, εκτός αν έχουν ρυθμιστεί διαφορετικά (περισσότερα γι 'αυτό αργότερα). Αυτές οι αξιόπιστες εταιρείες ονομάζονται Αρχές Πιστοποίησης ή Πιστοποιητικές Αρχές και πρέπει να πληρούν λεπτομερή κριτήρια προκειμένου να αποτελέσουν μέρος αυτής της λίστας.

Μπορείτε να έχετε πρόσβαση σε αυτό πηγαίνοντας στο Spotlight > Πρόσβαση στο Keychain > Ρίζες συστήματος.

Εάν ένας ιστότοπος παρουσιάζει ένα πιστοποιητικό που έχει υπογραφεί από οποιαδήποτε από αυτές τις αρχές αξιόπιστων πιστοποιητικών, τα προγράμματα περιήγησης ιστού θα τα ερμηνεύσουν ως "βλέπω την υπογραφή της συγκεκριμένης αρχής πιστοποιητικών, την οποία είμαι προεπιλεγμένη για εμπιστοσύνη. Έχει υπογράψει το πιστοποιητικό αυτού του διακομιστή. Αυτό σημαίνει ότι έχει επαληθεύσει τους ανθρώπους πίσω από αυτό το διακομιστή και επιβεβαίωσε ότι είναι πραγματικά αυτοί που ισχυρίζονται ότι είναι. Ως εκ τούτου, θα εμπιστευθώ και αυτό το πιστοποιητικό και θα δείξω το πράσινο σημάδι επιλογής ή το κλείδωμα στο χρήστη μου. "

Βοηθά να σκεφτόμαστε τις αρχές πιστοποίησης ως ανάλογες με τους κεντρικούς αξιόπιστους φορείς που εκδίδουν έγγραφα ταυτότητας, όπως τα διαβατήρια. Όταν υποβάλλετε αίτηση για διαβατήριο, πρέπει να προσκομίσετε δικαιολογητικά όπως το πιστοποιητικό γέννησής σας, την άδεια οδήγησης και μια φωτογραφία και πιθανώς να το κάνετε αυτοπροσώπως για να βεβαιωθείτε ότι είστε το άτομο στη φωτογραφία σας. Όταν ταξιδεύετε, χρησιμοποιείτε το διαβατήριό σας ως έγγραφο ταυτότητας. Οι κυβερνήσεις, τα ξενοδοχεία και οι αεροπορικές εταιρείες πιστεύουν ότι είστε το πρόσωπο που το διαβατήριό σας επιβεβαιώνει ότι είστε.

Μπορείτε να σκεφτείτε μια αρχή πιστοποίησης ως ανάλογη με ένα γραφείο έκδοσης διαβατηρίου και μπορείτε να σκεφτείτε ένα ψηφιακό πιστοποιητικό ως ένα είδος διαβατηρίου ή εγγράφου ταυτότητας για έναν ιστότοπο. Τα διαβατήρια είναι (ιδανικά) δύσκολα να κατασκευαστούν και έχουν ημερομηνίες λήξης. Με τον ίδιο τρόπο, τα ψηφιακά πιστοποιητικά θα πρέπει (σε ​​ιδανική περίπτωση) να είναι δύσκολο να κατασκευαστούν και έχουν επίσης ημερομηνίες λήξης. Μετά την ημερομηνία λήξης, τα διαβατήρια και τα ψηφιακά πιστοποιητικά καθίστανται άκυρα.

Δεν μπορούμε να καταλάβουμε ποιοι εμπιστεύονται τα προγράμματα περιήγησης και υπολογιστών μας

Ίσως να είστε εξοικειωμένοι με ορισμένες από τις αρχές πιστοποίησης ότι ο υπολογιστής σας έχει προεπιλεγεί αυτόματα για να εμπιστευτεί, όπως Symantec και GoDaddy. Αλλά ξέρατε ότι το λειτουργικό σας σύστημα ή το πρόγραμμα περιήγησής σας πιθανόν περιλαμβάνουν πιστοποιητικά ρίζας για οργανισμούς όπως το Post Office του Χονγκ Κονγκ, μια οργάνωση από την Ολλανδία που ονομάζεται Staat der Nederlanden Root CA και διάφορες κυβερνήσεις σε όλο τον κόσμο; (Εάν είστε περίεργοι, δείτε τον κατάλογο των οργανισμών που εμπιστεύονται τον Firefox).

Ο κίνδυνος είναι αυτό που συμβαίνει όταν μία από αυτές τις αρχές υπογράφει α σφυρήλατος (που φαίνεται να συνέβη με την καταστροφή της CNNIC / MCS Holdings / Google), ή πιθανώς ακόμα και με κακόβουλη πράξη.

Είναι καιρός να επανεξετάσουμε ποιοι εμπιστεύομαστε στο Διαδίκτυο?

Η εμπιστοσύνη στο Internet ρέει μεταβατικά. Έχουμε εμπιστοσύνη στους προγραμματιστές των λειτουργικών μας συστημάτων και των προγραμμάτων περιήγησης ιστού μας. ελπίζουμε σε εταιρείες όπως η Google που χειρίζονται τα δεδομένα μας στο Διαδίκτυο. και εμπιστευόμαστε αρκετές αρχές πιστοποίησης να επαληθεύουν προσεκτικά την ταυτότητα διαφόρων ιστότοπων και να εκδίδουν μόνο πιστοποιητικά SSL στους νόμιμους κατόχους τους.

Η περίπτωση των πλαστών πιστοποιητικών Google υπογραμμίζει τη σημασία της αναθεώρησης των αρχών πιστοποίησης που πραγματικά χρειαζόμαστε να έχουν εμπιστοσύνη τα προγράμματα περιήγησής μας. Ανάλογα με τις ιστοσελίδες που συνήθως επισκέπτεστε, το σύνολο των αρχών πιστοποιητικών στις οποίες βασίζεστε πραγματικά μπορεί να είναι πολύ μικρότερο από το σύνολο που είναι προ-αξιόπιστο στον υπολογιστή σας.

Εδώ μπορείτε να κάνετε κάτι για αυτό:

1. Εξετάστε το ενδεχόμενο να απενεργοποιήσετε ορισμένα από τα πιστοποιητικά ρίζας που προστέθηκαν προρυθμισμένα στον υπολογιστή σας. Για παράδειγμα, εάν δεν επισκέπτεστε τυπικά ιστότοπους στις Κάτω Χώρες, είναι μάλλον συνετό να απενεργοποιήσετε την αρχή με την επωνυμία "Κυβέρνηση των Κάτω Χωρών, PKIoverheid", την οποία το πρόγραμμα περιήγησής σας πιθανόν να έχει εμπιστοσύνη προς το παρόν. Προτείνουμε επίσης την απενεργοποίηση του πιστοποιητικού ρίζας για το CNNIC.
2. Εξετάστε το ενδεχόμενο να κάνετε το Chrome το προεπιλεγμένο πρόγραμμα περιήγησής σας, καθώς η Google έχει ιστορικό επαγρύπνησης και ανταποκρίνεται άμεσα σε εμπιστευτικές παραβιάσεις.
3. Ακολουθήστε έργα όπως το Project Transparency του Πιστοποιητικού της Google, το οποίο δημιουργεί μια τεχνική λύση για την ταχύτερη ειδοποίηση πλαστών πιστοποιητικών. Κατά τους επόμενους μήνες και χρόνια, τέτοια έργα θα δημιουργήσουν plugins και βελτιώσεις σε προγράμματα περιήγησης και λειτουργικά συστήματα για την επίλυση ορισμένων από αυτά τα προβλήματα, αλλά αυτές οι λύσεις δεν είναι πλήρως διαθέσιμες σήμερα.
4. Εν τω μεταξύ, θυμηθείτε να χρησιμοποιήσετε ένα VPN. Σας προστατεύει από κάποιους από τους πιθανούς τρόπους με τους οποίους ένας εισβολέας θα μπορούσε να προσπαθήσει να χρησιμοποιήσει ένα πλαστό πιστοποιητικό SSL σε εσάς. Για παράδειγμα, το VPN καθιστά πολύ πιο δύσκολο για έναν εισβολέα να παραβιάζει τα αποτελέσματα DNS.

Περαιτέρω ανάγνωση:

Τι είναι οι Αρχές Πιστοποίησης & Ιεραρχίες εμπιστοσύνης; | GlobalSign
Το πρόγραμμα διαφάνειας πιστοποιητικών της Google

• Author Details

admin Author

Sorry! The Author has not filled his profile.