r   e   k   l   a   m   a
r   e   k   l   a   m   a

Francuski wywiad przyłapany na fałszowaniu certyfikatów SSL Google'a

Strona główna AktualnościINTERNET

Internautom bez końca się wmawia, że „zielona kłódeczka” w pasku przeglądarki to gwarancja bezpiecznego, odpornego na podsłuch połączenia, a właścicielom serwisów internetowych bez końca się wmawia, że zakupienie certyfikatu SSL jest jedynym sposobem na zdobycie zaufania internautów. Biznes wokół SSL kręci się nieźle, firmy takie jak VeriSign zarabiają setki milionów dolarów na sprzedaży obietnic bezpieczeństwa, więc nic dziwnego, że ostrzeżenia whitehatów, co jakiś czas przypominających o słabościach systemu, w którym zaufanie generowane jest odgórnie, szybko zostają zapomniane. Teraz pewnie też tak będzie, mimo że znów mieliśmy okazję zobaczyć, jak niewiele „zielone kłódeczki” dają.

Tym razem na fałszowaniu certyfikatów przyłapano nie byle kogo, bo samą słynną francuską Agence nationale de la sécurité des systèmes d’information (ANSSI), będącą w praktyce odpowiednikiem amerykańskiego NSA. Powiązany z agencją pośredniczący urząd certyfikacyjny wystawił „lewe” certyfikaty dla serwisów Google'a, umożliwiając w ten sposób potencjalnym napastnikom ataki phishingowe i przechwytywanie komunikacji z autentycznymi serwisami.

Aferę odkryto na początku grudnia. Adam Langley, inżynier bezpieczeństwa w Google napisał na łamach korporacyjnego bloga, że natychmiast po odkryciu zagrożenia zaktualizowano odwoławcze metadane certyfikatów w Google Chrome, blokując w ten sposób wszystkie certyfikaty wystawione przez podejrzanego pośrednika urzędu certyfikacyjnego. O odkryciu poinformowano też ANSSI i innych producentów przeglądarek, dzięki czemu już następnego dnia sfałszowane certyfikaty były zablokowane w Firefoksie i Internet Explorerze.

ANSSI tymczasem znalazło szybko wytłumaczenie – wystawiony przez pośredniczące CA certyfikat na google'owe domeny miał być wykorzystywany na komercyjnym urządzeniu, w prywatnej sieci, do inwigilacji zaszyfrowanego ruchu za zgodą użytkowników tej sieci. Jego pojawienie się w Internecie uznano za błąd ludzki (à une erreur humaine), popełniony w trakcie procesu mającego na celu wzmocnienie zabezpieczeń ministerstwa finansów. Poinformowano, że incydent nie miał żadnych konsekwencji dla bezpieczeństwa ani francuskiej administracji rządowej, ani zwykłych użytkowników Internetu, ale i tak problematyczny certyfikat został odwołany.

Google jednak nie jest przekonane o nieistotności „incydentu”. Langley określił sprawę jako poważne naruszenie zasad, dowodzące, dlaczego projekt Certificate Transparency ma tak wielkie znaczenie. To otwarty framework do monitorowania i audytu certyfikatów SSL niemal w czasie rzeczywistym, pozwalający na wykrycie certyfikatów wydanych omyłkowo czy też pozyskanych bez wiedzy urzędów certyfikacyjnych o nieposzlakowanej reputacji.

Pomysłów na ulepszenie podstawowego systemu zabezpieczeń Sieci jest ostatnio wiele. Google w Chrome wprowadziło mechanizm przypinania certyfikatów, sprawdzający „odcisk palca” certyfikatu używanego przez witrynę, by upewnić się, że jest on ważny – a jeśli się nie zgadza, odrzucić certfykat, nawet jeśli został wystawiony przez zaufany urząd. Red Hat promuje koncepcję o nazwie Mutually Endorsing CA Infrastructure, w której przeglądarki łączące się z serwisami odpytują jednego z trzech losowo wybranych notariuszy (innych CA), czy dany certyfikat jest ważny.

Najciekawiej jednak (przynajmniej zdaniem autora tego newsa) wygląda rozszerzenie TACK (Trust Assertion for Certificate Keys), opracowane przez słynnych hakerów Moxiego Marlinspike'a i Trevora Perrina. System ten pozwala witrynom korzystającym z HTTPS na podpisanie ważnego certyfikatu SSL, nazwy domeny i daty jej wygaśnięcia kluczem TACK. Jeśli użytkownik kilka razy odwiedzi daną witrynę, to obsługująca TACK przeglądarka przypnie jej certyfikat do listy. Gdyby doszło później do sfałszowania certyfikatu, TACK powiadomi o tym użytkownika, „odpinając” witrynę z listy, zrywając sesję i wyświetlając użytkownikowi ostrzeżenie. W przeciwieństwie do rozwiązania stosowanego w Chrome, działa to automatycznie (niezależnie od producenta oprogramowania), dobrze się skaluje i może być bez problemu dodane do każdej przeglądarki.

Co jednak najważniejsze, jest to krok w dobrą stronę, w której bezpieczeństwo ruchu nie jest już cały czas zależne od urzędu certyfikacyjnego. Tutaj zaufać trzeba tylko raz. Oczywiście idealnym posunięciem byłoby całkowite pozbycie się urzędów certyfikacyjnych (przyjmując np. rozproszony system Convergence) – ale łatwo można sobie wyobrazić, jak na tego typu pomysły reagują internetowe tuzy z branży domenowo-hostingowej.

r   e   k   l   a   m   a
© dobreprogramy

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.