Certyfikaty SSL EV pomagają w phishingu: w Safari jesteś tym, za kogo zapłacisz
Po raz kolejny skuteczność zabezpieczenia, jakim mają byćcertyfikaty SSL, została postawiona pod znakiem zapytania. I to nietych zwykłych certyfikatów SSL, ale podobno najbezpieczniejszych,Extended Validation (EV), za które firmy płacą nierzadko i tysiączłotych rocznie. Połączenie społecznej inżynierii i bezmyślnoścideweloperów Apple’a pozwoliło łatwo oszukać końcowychużytkowników, którzy za bardzo się naczytali opowieści o„zielonych kłódeczkach”.
Na czym polega to dodatkowe zabezpieczenie certyfikatów EV, zaktóre ich sprzedawcy żądają tylu pieniędzy? Uwierzytelnieniedomeny w ten sposób w założeniu ma być bardziej rygorystycznąformą sprawdzenia tego, kto ją kontroluje. Uzyskanie certyfikatu EVoznacza, że urząd certyfikacyjny dołożył należytych starań, bypotwierdzić, że daną domenę kontroluje dana osoba prawna.Przeglądarki wyświetlają w widocznym miejscu nazwę tej osobyprawnej (np. dobreprogramy sp. z o.o.) – albo przed paskiem adresu,albo nawet zamiast niego. Od strony kryptografii żadnej różnicynie ma.
Wytyczne wystawiania certyfikatów EV określone są w dokumenciept. Guidelines for Extended Validation, przygotowywanym przezstowarzyszenie branżowe CA/BrowserForum. Należą do niego najważniejsze urzędy certfikacyjne ikluczowi producenci przeglądarek. Aby dana organizacja mogławystawiać certyfikaty EV, musi przejść audyt zgodność zwytycznymi, według kryteriów Europejskiego Instytutu NormTelekomunikacyjnych lub amerykańskiego standardu WebTrust.
Jak więc widać, zaufanie bierze się tu wyłącznie z zaufaniado instytucji, którym ufają inne instytucje – a na każdym etapietego łańcucha jest człowiek. Czy to wystarczy? Kilka miesięcytemu badacz James Burton założyłsobie firmę o nazwie Identity Verified, uzyskał wszystkiewymagane na nią w Wielkiej Brytanii dokumenty (zauważając, żemógł spokojnie zrobić to z wykorzystaniem kupionej w siecifałszywej tożsamości), za ich pomocą zarejestrował domenę iuzyskał certyfikat EV SSL od Symanteca. Później zaś uruchomiłjako Identity Verified całkiem dopracowaną stronę do phishingudanych logowania Google i PayPala. Wielu zwykłych ludzi dałoby sięoszukać, szczególnie jeśli korzystają z przeglądarki Safari.
W wypadku zastosowania certyfikatu EV, w przeglądarkach Apple’anie zobaczymy bowiem nazwy domeny, tylko nazwę uwierzytelnionegopodmiotu. Phishingowa strona Jamesa Burtona wyświetlała więc wprzeglądarce w pasku adresu napis „Identity Verified”, pokazującstronę logowania PayPala. A można zrobić to jeszcze lepiej.
Ian Carroll, ekspert od webowego bezpieczeństwa z firmycertly.io, założył sobie firmęo nazwie Stripe Inc. Urzędom nie przeszkadza przecież, że istniejeświetnie znana w e-commerce firma Stripe, dostarczająca m.in.platformę płatności online sklepom internetowym. Następniedysponując papierami na firmę, wystąpił o certyfikat EV na stronędziałającą pod adresem https://stripe.ian.sh. Certyfikat bezproblemu dostał. Efekt? W przeglądarce Safari, zarówno na macOS-iejak i iOS-ie, obie strony w pasku adresu wyglądają identycznie.Przeglądarka wyświetla Stripe Inc., z piękną zieloną kłódeczką.
Demonstracja ta dowodzi, że bez żadnego problemu można postaraćsię o stworzenie stron, które będą sugerowały użytkownikomwiarygodne powiązania ze znaną marką czy firmą. Nic nie stoi naprzeszkodzie, by zarejestrować w mniej znanym kraju firmę o nazwieidentycznej lub łudząco podobnej do jakiegoś światowego giganta,a następnie w jakimś urzędzie certyfikacyjnym uzyskać na domenęEV o odpowiedniej nazwie.
Czy zwykły użytkownik mógłby rozpoznać takie oszustwo? Pewniejakby chciało mu się poklikać, otworzyć systemowy podglądcertyfikatów, to by się zorientował, że coś jest nie tak. O czymjednak tu mówimy, o użytkownikach Safari analizujących certyfikatystron EV? Przecież w oficjalnej narracji zielona kłódeczka jesttożsama z bezpieczeństwem – przynajmniej w mniemaniu zwykłegoużytkownika. Nie wie on, że jedyne z czym jest ona tożsama, to zpłatnością wniesioną urzędowi certyfikacyjnemu zaprzeprowadzenie biurokratycznego procesu.
