Rozsah útoku na holandskú certifikačnú autoritu je omnoho väčší, ako sa pôvodne predpokladalo.
Problémy DigiNotar
Pred pár dňami svetom prebehla informácia o možnom zneužití SSL certifikátov, ktoré sa používajú na zabezpečené, šifrované spojenie medzi používateľmi z Iránu a servermi Google Gmail. Holandská certifikačná autorita zistila prienik do svojho systému a dotknuté certifikáty zrušila, no ten, ktorý patril Google sa podľa neskorších zistení zneužil na sledovanie komunikácie formou útoku man-in-the-middle.
Pôvodne sa predpokladalo, že rozsah útoku je pomerne malý, zoznam certifikátov mal 247 záznamov. V skutočnosti však ich počet prevyšuje 500. Medzi doménami pre ktoré DigiNotar vystavila certifikáty sú napríklad tajné služby CIA, MI6, sociálna sieť Facebook, Microsoft, Skype, Twitter či WordPress. Kompletný zoznam vydala holandská vláda. Tá už prevzala kontrolu nad spoločnosťou DigiNotar.
Získané podvodné certifikáty je možné použiť na nepozorované odchytávanie šifrovanej komunikácie. Certifikáty DigiNotar používala aj holandská vláda, únik znamená, že nie je zaručená bezpečná komunikácia občanov s jej vlastnými servermi.
Microsoft, Mozilla aj Google už vo svojich produktoch (napr. web prehliadačoch) nepovažujú DigiNotar za hodnovernú.
Stopy vedú do Iránu
Už minulý mesiac sa objavili prvé špekulácie, že za útokom na DigiNotar by mohla byť iránska vláda. Účelom malo byť sledovanie disidentov a kritikov režimu. Aj zneužitie pre sledovanie Gmail správ nahlásil občan z Iránu.
V jednom z podvodných certifikátov sa našli frázy z jazyka Farsi, ktorým hovorí väčšina Iráncov.
CN=*.RamzShekaneBozorg.com,SN=PK000229200006593,OU=Sare Toro Ham Mishkanam,L=Tehran,O=Hameye Ramzaro Mishkanam,C=IR
Čo vyzerá ako bežné záznamy sú v skutočnosti heslá, preložiť by sa dali nasledovne:
RamzShekaneBozorg – veľký cracker
Hameyeh Ramzaro Mishkanam – prelomím všetko šifrovanie
Sare Toro Ham Mishkanam – Nenávidím/zničím tvoju hlavu
Iný, nepriamy dôkaz poskytujú údaje, ktoré zbiera spoločnosť TrendMicro. Tá zistila, že až do 30. augusta bolo nezvyčajne veľa prístupov na doménu validation.diginotar.nl práve z Iránu. Táto doména slúži na overovanie pravosti certifikátov pri použití zabezpečenej komunikácie. Neskôr, v prvých dňoch septembra, už bola väčšina prístupov z Holandska, čo je normálny, očakávaný stav. Prístupy z Iránu celkom ustali, čo značí že certifikát bol zablokovaný. Aj to poukazuje na možné zneužívanie certifikátu vo veľkom rozsahu v predchádzajúcich týždňoch až mesiacoch práve v Iráne.
Priznanie hackera
K útoku sa teraz priznal hacker ktorý si hovorí ComodoHacker. Jeho meno nie je náhodné – rovnaká osoba stojí za dávnejšími útokmi na certifikačnú autoritu Comodo. Aj v tomto prípade boli odcudzené certifikáty pre web-mail služby, použité neskôr na sledovanie elektronickej pošty v Iráne.
Hacker sa priznal k útoku na DigiNotar, a okrem toho aj k mnohým ďalším. Spomína sa napríklad GlobalSign či StartCom. Zvyšné zatiaľ menované neboli.
Bližšie podrobnosti k útoku neopísal, hovorí však o spôsobe ako sa dostal k dátam DigiNotar. Údajne našiel heslá, použil tzv. Zero-Day útoky využívajúce neobjavené chyby v systémoch (tieto sa dajú kúpiť na čiernom trhu), prekonal ochranné firewally a hardvérové prvky, ktoré spoločnosť používala k prístupu na svoje počítače. Detailný opis má nasledovať čoskoro a mal by poslúžiť ako „užitočný návod pre LulzSec a Anonymous“.
Hacker poskytol aj administrátorské meno a heslo používané u DigiNotar. Spoločnosť však autentickosť údajov nepotvrdila.
ComodoHacker vysvetľuje útok na holandskú certifikačnú autoritu tým, že práve Holandsko má byť zodpovedné za smrť 8000 moslimov rukami Srbov v Srebrenici. Po útoku na spoločnosť Comodo hacker hovoril jasne – zámerne konal proti iránskym disidentom, ktorí nesúhlasia s vládou v tejto arabskej krajine. Napriek kritike Holandska v prípade kauzy DigiNotar teda stále ostáva primárnym cieľom ľud v Iráne.
Veriť či neveriť certifikačným autoritám?
Aj tieto posledné udalosti znova rozprúdili debatu okolo základného problému s certifikátmi – spoločnostiam, ktoré fungujú ako certifikačné autority, sa bezvýhradne verí. U mnohých z nich, DigiNotar nech je príkladom, sa však nedá zaručiť bezpečnosť. Používatelia potom môžu byť vystavený bezpečnostnému riziku a ich domnelá šifrovaná komunikácia odpočúvaná napríklad vládnymi orgánmi.
Zdroj: Arstechica, Cnet
Pridať nový komentár