reklama

Certyfikaty SSL EV pomagają w phishingu: w Safari jesteś tym, za kogo zapłacisz

Strona główna Aktualności

O autorze

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Po raz kolejny skuteczność zabezpieczenia, jakim mają być certyfikaty SSL, została postawiona pod znakiem zapytania. I to nie tych zwykłych certyfikatów SSL, ale podobno najbezpieczniejszych, Extended Validation (EV), za które firmy płacą nierzadko i tysiąc złotych rocznie. Połączenie społecznej inżynierii i bezmyślności deweloperów Apple’a pozwoliło łatwo oszukać końcowych użytkowników, którzy za bardzo się naczytali opowieści o „zielonych kłódeczkach”.

Na czym polega to dodatkowe zabezpieczenie certyfikatów EV, za które ich sprzedawcy żądają tylu pieniędzy? Uwierzytelnienie domeny w ten sposób w założeniu ma być bardziej rygorystyczną formą sprawdzenia tego, kto ją kontroluje. Uzyskanie certyfikatu EV oznacza, że urząd certyfikacyjny dołożył należytych starań, by potwierdzić, że daną domenę kontroluje dana osoba prawna. Przeglądarki wyświetlają w widocznym miejscu nazwę tej osoby prawnej (np. dobreprogramy sp. z o.o.) – albo przed paskiem adresu, albo nawet zamiast niego. Od strony kryptografii żadnej różnicy nie ma.

Wytyczne wystawiania certyfikatów EV określone są w dokumencie pt. Guidelines for Extended Validation, przygotowywanym przez stowarzyszenie branżowe CA/Browser Forum. Należą do niego najważniejsze urzędy certfikacyjne i kluczowi producenci przeglądarek. Aby dana organizacja mogła wystawiać certyfikaty EV, musi przejść audyt zgodność z wytycznymi, według kryteriów Europejskiego Instytutu Norm Telekomunikacyjnych lub amerykańskiego standardu WebTrust.

Jak więc widać, zaufanie bierze się tu wyłącznie z zaufania do instytucji, którym ufają inne instytucje – a na każdym etapie tego łańcucha jest człowiek. Czy to wystarczy? Kilka miesięcy temu badacz James Burton założył sobie firmę o nazwie Identity Verified, uzyskał wszystkie wymagane na nią w Wielkiej Brytanii dokumenty (zauważając, że mógł spokojnie zrobić to z wykorzystaniem kupionej w sieci fałszywej tożsamości), za ich pomocą zarejestrował domenę i uzyskał certyfikat EV SSL od Symanteca. Później zaś uruchomił jako Identity Verified całkiem dopracowaną stronę do phishingu danych logowania Google i PayPala. Wielu zwykłych ludzi dałoby się oszukać, szczególnie jeśli korzystają z przeglądarki Safari.

W wypadku zastosowania certyfikatu EV, w przeglądarkach Apple’a nie zobaczymy bowiem nazwy domeny, tylko nazwę uwierzytelnionego podmiotu. Phishingowa strona Jamesa Burtona wyświetlała więc w przeglądarce w pasku adresu napis „Identity Verified”, pokazując stronę logowania PayPala. A można zrobić to jeszcze lepiej.

Ian Carroll, ekspert od webowego bezpieczeństwa z firmy certly.io, założył sobie firmę o nazwie Stripe Inc. Urzędom nie przeszkadza przecież, że istnieje świetnie znana w e-commerce firma Stripe, dostarczająca m.in. platformę płatności online sklepom internetowym. Następnie dysponując papierami na firmę, wystąpił o certyfikat EV na stronę działającą pod adresem https://stripe.ian.sh. Certyfikat bez problemu dostał. Efekt? W przeglądarce Safari, zarówno na macOS-ie jak i iOS-ie, obie strony w pasku adresu wyglądają identycznie. Przeglądarka wyświetla Stripe Inc., z piękną zieloną kłódeczką.

Demonstracja ta dowodzi, że bez żadnego problemu można postarać się o stworzenie stron, które będą sugerowały użytkownikom wiarygodne powiązania ze znaną marką czy firmą. Nic nie stoi na przeszkodzie, by zarejestrować w mniej znanym kraju firmę o nazwie identycznej lub łudząco podobnej do jakiegoś światowego giganta, a następnie w jakimś urzędzie certyfikacyjnym uzyskać na domenę EV o odpowiedniej nazwie.

Czy zwykły użytkownik mógłby rozpoznać takie oszustwo? Pewnie jakby chciało mu się poklikać, otworzyć systemowy podgląd certyfikatów, to by się zorientował, że coś jest nie tak. O czym jednak tu mówimy, o użytkownikach Safari analizujących certyfikaty stron EV? Przecież w oficjalnej narracji zielona kłódeczka jest tożsama z bezpieczeństwem – przynajmniej w mniemaniu zwykłego użytkownika. Nie wie on, że jedyne z czym jest ona tożsama, to z płatnością wniesioną urzędowi certyfikacyjnemu za przeprowadzenie biurokratycznego procesu.

© dobreprogramy
reklama

Komentarze

reklama