Włamanie po certyfikaty

Centrum certyfikacyjne jest organem zaufania, który wydaje certyfikaty dla usług internetowych. Naruszenie jego bezpieczeństwa przynosi lawinę włamań do różnych serwisów.

Jednym z najpoważniejszych zagrożeń związanych z bezpieczeństwem szyfrowanej za pomocą SSL komunikacji jest włamanie do głównego centrum certyfikacyjnego i pozyskanie danych umożliwiających wystawienie fałszywych certyfikatów, które przez przeglądarki są traktowane jako prawdziwe. Do takiego zdarzenia doszło 19 lipca, gdy nieznani bliżej włamywacze zaatakowali holenderską firmę DigiNotar. Wydano przy tym co najmniej 500 podrobionych certyfikatów, które umożliwiają przechwycenie komunikacji do takich stron jak Google Mail. Początkowo sądzono, że celem była usługa Gmail, ale szybko stwierdzono, że skutki włamania są znacznie poważniejsze - naruszono bezpieczeństwo systemów i certyfikatów SSL i EV-SSL.

Zaraz po odkryciu włamania firma Fox-IT przeprowadziła audyt, który wykrył, że ponad 300 tys. irańskich adresów IP mogło łączyć się z usługami Google za pomocą podrobionych certyfikatów - a to oznacza, że informacje tam wysyłane mogły być przechwycone. DigiNotar twierdzi, że fałszywe certyfikaty niezwłocznie zablokowano, niemniej holenderska organizacja rządowa Govcert stwierdziła, że certyfikat dla Google nadal był aktywny. Aby uniknąć przykrych niespodzianek, wszyscy klienci firmy DigiNotar otrzymają tymczasowo rządowe certyfikaty.

Mleko już się rozlało

Eksperci zajmujący się bezpieczeństwem twierdzą, że jeśli fałszywe certyfikaty miały być użyte do ataków pośrednictwa (man in the middle), to wszystkie szkody już zostały wyrządzone. Roel Schouwenberg, badacz w firmie Lab, mówi: "Publikowane informacje sugerują coś znacznie gorszego, gdyż wykryte ataki mogą stanowić jedynie czubek góry lodowej. Certyfikat dla strony google.com został niedawno odwołany, a audyt powinien był go wykryć. Informacje te nie wzbudzają zaufania, gdyż należało sprawdzić także inne strony wskazane przez F-Secure". Już sam fakt wystawienia certyfikatu dla Google powinien wzbudzić zainteresowanie, gdyż jest to mało prawdopodobne, by firma tej wielkości skorzystała z usług niedużego holenderskiego dostawcy certyfikatów. Ponadto audyt powinien był wykryć fakt naruszenia bezpieczeństwa związanego z adresami IP w Iranie.

Z kolei odwołanie certyfikatów nie zapewni całkowitego bezpieczeństwa, gdyż niektóre z nich mogą być użyte do kierowanych ataków, ponadto są sposoby na ominięcie powiadomień. Można mieć nadzieję, że producenci oprogramowania będą działać szybciej niż na przykład Apple po włamaniu do centrum certyfikacyjnego .

Fala usuwania certyfikatów

Aby zablokować podrobione certyfikaty, Microsoft usunął DigiNotar z listy Microsoft Certificate Trust List w systemach Windows 7, Vista i Server 2008. W tych systemach lista jest sprawdzana automatycznie, zatem certyfikaty wystawione przez DigiNotar nie powinny być akceptowane od 5 sierpnia. Systemy Windows XP oraz Windows 2003 Server wymagają wprowadzenia odpowiedniej aktualizacji, która została przygotowana i jest w dystrybucji, objęto nią wszystkie kraje z wyjątkiem Holandii, na prośbę holenderskiego rządu. Podobną aktualizację usuwającą CA firmy DigiNotar wydała Mozilla dla przeglądarki Firefox, a także Google dla Chrome, ponadto użytkownicy Firefoksa mogą odwołać zaufanie do certyfikatów DigiNotar samodzielnie.

O ile producenci przeglądarek desktopowych szybko zareagowali na informację o fałszywych certyfikatach i odpowiednie poprawki zostały już wprowadzone lub zaproponowano metody obejścia problemu, o tyle w przypadku smartfonów i tabletów sprawa jest poważniejsza.

Aby wprowadzić poprawki do smartfonów z Androidem, Google musi współpracować z producentami i operatorami, którzy wprowadzają aktualizacje do telefonów. Firmy te działają wolniej niż producenci oprogramowania, tacy jak Mozilla czy Microsoft. Innym problemem jest ewentualne wykorzystywanie przez operatorów stron, które stosują certyfikaty wydane przez DigiNotar. Grupa użytkowników Cyanogenmod skupiona wokół nieoficjalnych dystrybucji Androida już podjęła decyzję o wydaniu aktualizacji. Z kolei Apple wydaje łaty samodzielnie, ale musi upewnić się, że nie naruszy interesów operatorów, ponadto firma ta jest znana z opóźnień w aktualizacji. Telefony Windows Phone 7 oraz niektóre nie zawierały w swoich listach certyfikatów DigiNotar.

Gdy centrum certyfikacji jest celem

Problemy z naruszeniem bezpieczeństwa po włamaniu do centrum certyfikacji (CA, certificate authority) pokazał przypadek firmy Comodo. W marcu bieżącego roku wykryto włamanie do CA, po którym stwierdzono, że jeden z europejskich partnerów wystawił certyfikaty dla różnych stron, m.in. mail.google.com, www.google.com, login.skype.com, addons.mozilla.org, login.live.com, a także globalny i trzy różne do logowania do strony login.yahoo.com.

Centrum certyfikacji jest ważnym celem dla napastników, gdyż włamanie do niego umożliwi łatwe wystawienie poprawnego certyfikatu SSL do fałszywej strony, a zatem przechwycenie komunikacji. Z kolei same CA są tylko tak bezpieczne, jak ich własne systemy informatyczne. Eksperci martwią się zatem, że prawdopodobnie firmie DigiNotar jeszcze nie udało się odkryć wszystkich fałszywych certyfikatów.

Podobnie jak w przypadku włamania do Comodo, spekulacje dotyczą działań irańskich specjalistów, gdyż ten kraj nie ma własnego CA i mógłby zdecydować się na włamanie, by pozyskać certyfikaty. Prawdopodobną przyczyną włamań jest chęć kontroli komunikacji dysydentów przez irański rząd.