Przejdź na

Certyfikaty SSL EV pomagają w phishingu: w Safari jesteś tym, za kogo zapłacisz

Po raz kolejny skuteczność zabezpieczenia, jakim mają byćcertyfikaty SSL, została postawiona pod znakiem zapytania. I to nietych zwykłych certyfikatów SSL, ale podobno najbezpieczniejszych,Extended Validation (EV), za które firmy płacą nierzadko i tysiączłotych rocznie. Połączenie społecznej inżynierii i bezmyślnoścideweloperów Apple’a pozwoliło łatwo oszukać końcowychużytkowników, którzy za bardzo się naczytali opowieści o„zielonych kłódeczkach”.

Obraz
Adam Golański

Na czym polega to dodatkowe zabezpieczenie certyfikatów EV, zaktóre ich sprzedawcy żądają tylu pieniędzy? Uwierzytelnieniedomeny w ten sposób w założeniu ma być bardziej rygorystycznąformą sprawdzenia tego, kto ją kontroluje. Uzyskanie certyfikatu EVoznacza, że urząd certyfikacyjny dołożył należytych starań, bypotwierdzić, że daną domenę kontroluje dana osoba prawna.Przeglądarki wyświetlają w widocznym miejscu nazwę tej osobyprawnej (np. dobreprogramy sp. z o.o.) – albo przed paskiem adresu,albo nawet zamiast niego. Od strony kryptografii żadnej różnicynie ma.

dobreprogramy sp. z o.o. zamiast dobreprogramy.pl – różnica znacząca
dobreprogramy sp. z o.o. zamiast dobreprogramy.pl – różnica znacząca

Wytyczne wystawiania certyfikatów EV określone są w dokumenciept. Guidelines for Extended Validation, przygotowywanym przezstowarzyszenie branżowe CA/BrowserForum. Należą do niego najważniejsze urzędy certfikacyjne ikluczowi producenci przeglądarek. Aby dana organizacja mogławystawiać certyfikaty EV, musi przejść audyt zgodność zwytycznymi, według kryteriów Europejskiego Instytutu NormTelekomunikacyjnych lub amerykańskiego standardu WebTrust.

Jak więc widać, zaufanie bierze się tu wyłącznie z zaufaniado instytucji, którym ufają inne instytucje – a na każdym etapietego łańcucha jest człowiek. Czy to wystarczy? Kilka miesięcytemu badacz James Burton założyłsobie firmę o nazwie Identity Verified, uzyskał wszystkiewymagane na nią w Wielkiej Brytanii dokumenty (zauważając, żemógł spokojnie zrobić to z wykorzystaniem kupionej w siecifałszywej tożsamości), za ich pomocą zarejestrował domenę iuzyskał certyfikat EV SSL od Symanteca. Później zaś uruchomiłjako Identity Verified całkiem dopracowaną stronę do phishingudanych logowania Google i PayPala. Wielu zwykłych ludzi dałoby sięoszukać, szczególnie jeśli korzystają z przeglądarki Safari.

W wypadku zastosowania certyfikatu EV, w przeglądarkach Apple’anie zobaczymy bowiem nazwy domeny, tylko nazwę uwierzytelnionegopodmiotu. Phishingowa strona Jamesa Burtona wyświetlała więc wprzeglądarce w pasku adresu napis „Identity Verified”, pokazującstronę logowania PayPala. A można zrobić to jeszcze lepiej.

Ian Carroll, ekspert od webowego bezpieczeństwa z firmycertly.io, założył sobie firmęo nazwie Stripe Inc. Urzędom nie przeszkadza przecież, że istniejeświetnie znana w e-commerce firma Stripe, dostarczająca m.in.platformę płatności online sklepom internetowym. Następniedysponując papierami na firmę, wystąpił o certyfikat EV na stronędziałającą pod adresem https://stripe.ian.sh. Certyfikat bezproblemu dostał. Efekt? W przeglądarce Safari, zarówno na macOS-iejak i iOS-ie, obie strony w pasku adresu wyglądają identycznie.Przeglądarka wyświetla Stripe Inc., z piękną zieloną kłódeczką.

Stripe Inc. vs Stripe Inc. – w Safari różnicy nie ma
Stripe Inc. vs Stripe Inc. – w Safari różnicy nie ma

Demonstracja ta dowodzi, że bez żadnego problemu można postaraćsię o stworzenie stron, które będą sugerowały użytkownikomwiarygodne powiązania ze znaną marką czy firmą. Nic nie stoi naprzeszkodzie, by zarejestrować w mniej znanym kraju firmę o nazwieidentycznej lub łudząco podobnej do jakiegoś światowego giganta,a następnie w jakimś urzędzie certyfikacyjnym uzyskać na domenęEV o odpowiedniej nazwie.

Czy zwykły użytkownik mógłby rozpoznać takie oszustwo? Pewniejakby chciało mu się poklikać, otworzyć systemowy podglądcertyfikatów, to by się zorientował, że coś jest nie tak. O czymjednak tu mówimy, o użytkownikach Safari analizujących certyfikatystron EV? Przecież w oficjalnej narracji zielona kłódeczka jesttożsama z bezpieczeństwem – przynajmniej w mniemaniu zwykłegoużytkownika. Nie wie on, że jedyne z czym jest ona tożsama, to zpłatnością wniesioną urzędowi certyfikacyjnemu zaprzeprowadzenie biurokratycznego procesu.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥