Tillitsbrudd med sertifikatmyndighet avslører sårbarhet i Internetts tillitshierarkier

[ware_item id=33][/ware_item]

Tillitsbrudd med sertifikatmyndighet avslører sårbarhet i Internetts tillitshierarkier


I slutten av mars 2015 var det et stort sikkerhetsbrudd som involverte uautoriserte digitale sertifikater som etterligger Google. Denne hendelsen har vidtrekkende konsekvenser for hvordan vanlige mennesker bestemmer hvem de skal stole på Internett.

I dette innlegget skal vi prøve å forklare hvorfor dette betyr noe for sluttbrukere som deg.

Hva skjedde, i et nøtteskall

Google oppdaget forfalskninger av SSL-sertifikater av høy kvalitet for Google-domener. Forfalskene var så gode at de kunne lure de fleste nettlesere, og muligens la en angriper etterligne Google og andre domener, og potensielt til og med lure brukere til å avsløre passordene sine. Heldigvis eksisterte forfalskningene bare i et lukket testmiljø.

Å utstede slike falske digitale sertifikater - selv i et testmiljø - er antatt å være nesten umulig, takket være de strenge prosessene som er på plass for å bekrefte identiteten til sertifikatinnehaverne. At dette skjedde er derfor en veldig stor avtale, og det betyr at det kan skje igjen, og at det sannsynligvis har skjedd før for andre organisasjoner, men gikk upåaktet hen.

Google svarer ved å oppdatere Google Chrome-nettleseren for ikke lenger å stole på den aktuelle sertifikatmyndigheten (kalt CNNIC); den fjerner CNNICs rotsertifikater fra produktene sine. Mozilla (skaper av Firefox) vil mistillit alle nye CNNIC-sertifikater til CNNICs vellykkede søknad om inkludering i rotbutikken.

Oppdatering: Dette er hva som skjer når du besøker et nettsted med gyldig SSL-sertifikat

Det hjelper å ha en forståelse på høyt nivå av hva som skjer når vi går til et nettsted ved hjelp av https, og nettleseren vår viser oss et grønt merke eller lås som sier at dette nettstedet er sikkert.

  1. Du skriver inn https://www.google.com i nettleseren din.
  2. Nettleseren din har tilgang til en offentlig katalog kalt DNS for å slå opp hvilken IP-adresse den skal bruke for å kontakte google.com.
  3. Nettleseren din kontakter serveren på IP-adressen den mottok fra DNS.
  4. Serveren svarer med et SSL-sertifikat.
  5. Nettleseren din bruker dette SSL-sertifikatet for å oppnå to veldig viktige ting:
    1. Det bekrefter identiteten til serveren. I dette tilfellet bekrefter den at serveren virkelig drives av Google; og
    2. Den setter opp en kryptert kommunikasjonskanal, slik at data som sendes mellom nettleseren og serveren, blir kryptert. Den som lytter på nettverket, kan se at du kommuniserer med Google, men ikke kan se på innholdet i kommunikasjonen.

Hvis SSL-sertifikatet er gyldig, vil nettleseren din vise det kjente grønne sjekkmerket eller låsen på adressefeltet.

Ahh, den grønne låsen.Ahh, den grønne låsen.

Hvis en angriper imidlertid klarte å lure nettleseren min til å kontakte en falsk server, vil nettleseren din merke at SSL-sertifikatet er det ugyldig, og det vil vise deg en sikkerhetsadvarsel.

Dette er hva som skjer når SSL-sertifikatet er en forfalskning av høy kvalitet (hint: nettleseren din vil ikke legge merke til)

Dette er grunnen til at kunngjøringen fra Google er så viktig: MCI Holdings klarte å lage falske SSL-sertifikater for Google som var så realistiske at det kunne lure de fleste nettlesere til å tro at et nettsted på en falsk server faktisk var Google. Dette skal ideelt sett aldri skje. Men når det gjør det, er det slik det vil se ut:

  1. Du skriver inn https://www.google.com i nettleseren din.
  2. En angriper triks DNS-serveren din til å gi deg feil IP-adresse for google.com. De kan gjøre dette ved å utnytte feil i hjemmeruteren din, andre rutere i nettverket, feil i selve DNS-serveren (vanligvis drevet av din ISP), eller på andre måter.
  3. Nettleseren din kontakter den falske serveren.
  4. Den falske serveren svarer med et falskt SSL-sertifikat. Sertifikatet er imidlertid en så kvalitetsfalske at nettleseren din mener det er gyldig.
  5. Nettleseren din vil vise det grønne sjekkmerket eller låsen i adressefeltet.
    1. Når SSL-sertifikatet er en forfalsket forfalskning av høy kvalitet, vil du og nettleseren din tro at det faktisk er GMail ...Når SSL-sertifikatet er en forfalskning av høy kvalitet, ikke påvisbar, vil du og nettleseren din tro at det faktisk er GMail ...
  6. Du skriver inn Google-brukernavnet og passordet ditt i en klone av GMail av høy kvalitet, og sender det derved til angriperen, som nå får kontroll over alle Google-dataene dine, inkludert e-post, dokumenter, bilder, kontakter og alt annet som er knyttet til Google-kontoen din..

Hvordan bestemmer nettlesere uansett om et SSL-sertifikat er gyldig?

Hvert operativsystem, smarttelefon og nettleser leveres forhåndsinstallert med en liste over noen få dusin selskaper eller myndigheter hvis digitale signaturer den automatisk vil stole på, med mindre annet er konfigurert (mer om dette senere). Disse pålitelige selskapene kalles Certificate Authority, eller CAs, og må oppfylle detaljerte kriterier for å være en del av listen.

Nøkkelringstilgang System RootsDu får tilgang til dette ved å gå til Spotlight > Nøkkelringstilgang > Systemrot.

Hvis et nettsted presenterer et sertifikat som er signert av noen av disse klarerte sertifikatmyndighetene, vil nettlesere tolke det som "Jeg ser signaturen til denne sertifikatmyndigheten som jeg er forhåndskonfigurert til å stole på. Den har signert sertifikatet til denne serveren. Det betyr at den har bekreftet menneskene bak serveren og bekreftet at de virkelig er den de påstår å være. Derfor vil jeg stole på dette sertifikatet også og vise det grønne avmerkingen eller låsen til brukeren min. "

Det hjelper å tenke på sertifikatmyndigheter som analoge med de sentrale pålitelige organene som utsteder identitetsdokumenter som pass. Når du søker om pass, må du ta med bilag som fødselsattest, førerkort og et fotografi, og du må sannsynligvis gjøre det personlig slik at de kan bekrefte at du er personen på bildet. Når du reiser bruker du passet ditt som identitetsdokument. Regjeringer, hoteller og flyselskaper stoler på at du er personen som passet ditt bekrefter at du er.

Du kan tenke på en sertifikatmyndighet som analog med et passutstedende kontor, og du kan tenke på et digitalt sertifikat som et slags pass, eller identitetsdokument, for et nettsted. Pass er (ideelt) vanskelig å smi, og har utløpsdato. På samme måte skal digitale sertifikater (ideelt sett) være vanskelige å forfalske, og de har også utløpsdato. Etter utløpsdatoer blir pass og digitale sertifikater ugyldige.

Vi kan ikke ta hvem nettlesere og datamaskiner stoler på for gitt

Du er kanskje kjent med noen av sertifikatmyndighetene som datamaskinen din automatisk er forhåndskonfigurert til å stole på, for eksempel Symantec og GoDaddy. Men visste du at operativsystemet eller nettleseren din sannsynligvis inkluderer rotsertifikater for vidtgående organisasjoner som Hong Kong Post Office, en organisasjon fra Nederland som heter Staat der Nederlanden Root CA, og forskjellige regjeringer rundt om i verden? (Hvis du er nysgjerrig, her er listen over organisasjoner som er klarert av Firefox).

Risikoen er det som skjer når en av disse sertifikatmyndighetene signerer a smidd sertifikat fra en imitatør ved uaktsomhet (som er det som ser ut til å ha skjedd med CNNIC / MCS Holdings / Google-debakel), eller potensielt til og med gjennom ondskap.

Er det på tide å revidere hvem vi stoler på på Internett?

Tillit på Internett flyter forbigående. Vi stoler på utviklerne av operativsystemene og nettleserne våre; vi stoler på selskaper som Google som håndterer våre data på Internett; og vi stoler på flere sertifikatmyndigheter for å verifisere identiteten til forskjellige nettsteder nøye og bare utstede SSL-sertifikater til deres legitime eiere.

Tilfellet med de forfalskede Google-sertifikatene understreker viktigheten av å gjennomgå hvilke sertifikatmyndigheter vi virkelig trenger nettleserne å stole på. Avhengig av hvilke nettsteder du vanligvis besøker, kan settet med sertifikatmyndigheter du faktisk er avhengig av være mye mindre enn settet som er klarert på datamaskinen din.

Her er hva du kan gjøre med dette:

  1. Vurder å deaktivere noen av rotsertifikatene som ble forhåndskonfigurert på datamaskinen din. For eksempel, hvis du ikke vanligvis bla gjennom nettsteder i Nederland, er det sannsynligvis lurt å deaktivere myndigheten som heter "Government of the Netherlands, PKIoverheid" som nettleseren din sannsynligvis er klar til å stole på for øyeblikket. Vi foreslår også å deaktivere rotsertifikatet for CNNIC.
  2. Vurder å gjøre Chrome til din standard nettleser, siden Google har en oversikt over å være årvåken og svare raskt på tillitsbrudd.
  3. Følg prosjekter som Googles Certificate Transparency Project, som lager en teknisk løsning for å legge merke til forfalskede sertifikater raskere. I løpet av de kommende månedene og årene vil slike prosjekter skape plugins og forbedringer til nettlesere og operativsystemer for å løse noen av disse problemene, men disse løsningene er ikke fullt tilgjengelige i dag.
  4. Husk å bruke en VPN i mellomtiden. Det beskytter deg mot noen av de mulige måtene en angriper kan prøve å bruke et smidd SSL-sertifikat på deg. For eksempel gjør VPN det mye vanskeligere for en angriper å tukle med DNS-resultatene dine.

Videre lesning:

Hva er sertifikatmyndigheter & Stol på hierarkier? | Global
Googles sertifikatgjennomsiktighetsprosjekt

Tillitsbrudd med sertifikatmyndighet avslører sårbarhet i Internetts tillitshierarkier
admin Author
Sorry! The Author has not filled his profile.