Certyfikaty SSL EV pomagają w phishingu: w Safari jesteś tym, za kogo zapłacisz

Certyfikaty SSL EV pomagają w phishingu: w Safari jesteś tym, za kogo zapłacisz12.12.2017 10:51

Po raz kolejny skuteczność zabezpieczenia, jakim mają byćcertyfikaty SSL, została postawiona pod znakiem zapytania. I to nietych zwykłych certyfikatów SSL, ale podobno najbezpieczniejszych,Extended Validation (EV), za które firmy płacą nierzadko i tysiączłotych rocznie. Połączenie społecznej inżynierii i bezmyślnoścideweloperów Apple’a pozwoliło łatwo oszukać końcowychużytkowników, którzy za bardzo się naczytali opowieści o„zielonych kłódeczkach”.

Na czym polega to dodatkowe zabezpieczenie certyfikatów EV, zaktóre ich sprzedawcy żądają tylu pieniędzy? Uwierzytelnieniedomeny w ten sposób w założeniu ma być bardziej rygorystycznąformą sprawdzenia tego, kto ją kontroluje. Uzyskanie certyfikatu EVoznacza, że urząd certyfikacyjny dołożył należytych starań, bypotwierdzić, że daną domenę kontroluje dana osoba prawna.Przeglądarki wyświetlają w widocznym miejscu nazwę tej osobyprawnej (np. dobreprogramy sp. z o.o.) – albo przed paskiem adresu,albo nawet zamiast niego. Od strony kryptografii żadnej różnicynie ma.

dobreprogramy sp. z o.o. zamiast dobreprogramy.pl – różnica znacząca
dobreprogramy sp. z o.o. zamiast dobreprogramy.pl – różnica znacząca

Wytyczne wystawiania certyfikatów EV określone są w dokumenciept. Guidelines for Extended Validation, przygotowywanym przezstowarzyszenie branżowe CA/BrowserForum. Należą do niego najważniejsze urzędy certfikacyjne ikluczowi producenci przeglądarek. Aby dana organizacja mogławystawiać certyfikaty EV, musi przejść audyt zgodność zwytycznymi, według kryteriów Europejskiego Instytutu NormTelekomunikacyjnych lub amerykańskiego standardu WebTrust.

Jak więc widać, zaufanie bierze się tu wyłącznie z zaufaniado instytucji, którym ufają inne instytucje – a na każdym etapietego łańcucha jest człowiek. Czy to wystarczy? Kilka miesięcytemu badacz James Burton założyłsobie firmę o nazwie Identity Verified, uzyskał wszystkiewymagane na nią w Wielkiej Brytanii dokumenty (zauważając, żemógł spokojnie zrobić to z wykorzystaniem kupionej w siecifałszywej tożsamości), za ich pomocą zarejestrował domenę iuzyskał certyfikat EV SSL od Symanteca. Później zaś uruchomiłjako Identity Verified całkiem dopracowaną stronę do phishingudanych logowania Google i PayPala. Wielu zwykłych ludzi dałoby sięoszukać, szczególnie jeśli korzystają z przeglądarki Safari.

W wypadku zastosowania certyfikatu EV, w przeglądarkach Apple’anie zobaczymy bowiem nazwy domeny, tylko nazwę uwierzytelnionegopodmiotu. Phishingowa strona Jamesa Burtona wyświetlała więc wprzeglądarce w pasku adresu napis „Identity Verified”, pokazującstronę logowania PayPala. A można zrobić to jeszcze lepiej.

Ian Carroll, ekspert od webowego bezpieczeństwa z firmycertly.io, założył sobie firmęo nazwie Stripe Inc. Urzędom nie przeszkadza przecież, że istniejeświetnie znana w e-commerce firma Stripe, dostarczająca m.in.platformę płatności online sklepom internetowym. Następniedysponując papierami na firmę, wystąpił o certyfikat EV na stronędziałającą pod adresem https://stripe.ian.sh. Certyfikat bezproblemu dostał. Efekt? W przeglądarce Safari, zarówno na macOS-iejak i iOS-ie, obie strony w pasku adresu wyglądają identycznie.Przeglądarka wyświetla Stripe Inc., z piękną zieloną kłódeczką.

Stripe Inc. vs Stripe Inc. – w Safari różnicy nie ma
Stripe Inc. vs Stripe Inc. – w Safari różnicy nie ma

Demonstracja ta dowodzi, że bez żadnego problemu można postaraćsię o stworzenie stron, które będą sugerowały użytkownikomwiarygodne powiązania ze znaną marką czy firmą. Nic nie stoi naprzeszkodzie, by zarejestrować w mniej znanym kraju firmę o nazwieidentycznej lub łudząco podobnej do jakiegoś światowego giganta,a następnie w jakimś urzędzie certyfikacyjnym uzyskać na domenęEV o odpowiedniej nazwie.

Czy zwykły użytkownik mógłby rozpoznać takie oszustwo? Pewniejakby chciało mu się poklikać, otworzyć systemowy podglądcertyfikatów, to by się zorientował, że coś jest nie tak. O czymjednak tu mówimy, o użytkownikach Safari analizujących certyfikatystron EV? Przecież w oficjalnej narracji zielona kłódeczka jesttożsama z bezpieczeństwem – przynajmniej w mniemaniu zwykłegoużytkownika. Nie wie on, że jedyne z czym jest ona tożsama, to zpłatnością wniesioną urzędowi certyfikacyjnemu zaprzeprowadzenie biurokratycznego procesu.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na