Kompromitterte sertifikatmyndigheter: Hvordan beskytte deg selv

I løpet av de siste par ukene har DigiNotar, et nederlandsk sertifikatutvalg, vært i nyhetene etter et brudd tilbake i juli. Dette var en stor historie fordi den viste et ekte eksempel på et veldig alvorlig sikkerhetsproblem som kunne påvirke alle på nettet. Dette skjedde bare måneder etter en tidligere lignende hendelse, hvor et Comodo-datterselskap også hadde et brudd, og det ble utstedt uredelige attester. Her skal jeg kort gå gjennom hva som skjedde, noen grunnleggende om hvordan sertifikater fungerer, og hva du som IT-profesjonell kan gjøre for å beskytte brukerne dine mot disse bruddene og andre lignende.

Først vet du sannsynligvis at for at en SSL-forbindelse skal oppstå, må et sertifikat være involvert. Disse sertifikatene kan ikke utstedes på egen hånd, ellers blir de ikke klarert av noen. Disse kalles selvskrevne sertifikater og har ingen nytte for produksjonsmiljøer. I stedet vil en administrator som ønsker å opprette et sikkert nettsted opprette det som kalles en Certificate Signing Request (CSR) som har veldig spesifikk informasjon om nettstedet de driver, deres identitet som enkeltperson eller selskap og deres kontaktinformasjon. Deretter overfører de denne forespørselen til en klarert Certificate Authority (CA).

At CA, eller oftere et av datterselskapene, vil deretter generere det signerte sertifikatet ved hjelp av sin egen private nøkkel, etter at du har bekreftet at du har autorisasjon til å ha et sertifikat for det domenenavnet. På sin side kan deres eget sertifikat være klarert av en høyere CA, som igjen er klarert i alle de populære nettleserne. Det er det som kalles et sertifikathierarki .

Figur A

Og det er der problemet ligger. Det er hundrevis av slike pålitelige CAer i nettleserne våre, og hver av dem kan produsere sertifikater for ethvert nettsted på nettet. Det betyr at hvis noen av dem blir hacket, og deres private nøkkel blir utgitt i naturen, kan hackeren opprette et sertifikat for ethvert nettsted de ønsker, og alle nettleserne våre vil se det som gyldig. Verre er at de kan lage sertifikater for enhver bruk, inkludert signering av e-post, kryptering av VPN-tilkoblinger, etc.

Men hva er angrepsvektoren på dette? For å kunne bruke et slikt sertifikat, vil hackeren trenge å avskjære trafikk og sette inn sitt eget falske sertifikat i et Man-in-the-Middle-angrep (MitM). Når det gjelder DigiNotar, var det akkurat det som skjedde. Den iranske regjeringen har proxy-servere som hele landstrafikken går gjennom. Med et slikt sertifikat betydde det at de plutselig kan få tilgang til hver enkelt brukers Gmail-konto, bankkonto eller hvilken som helst kryptert forbindelse de vil ha i landet, siden de hadde den private nøkkelen til en pålitelig myndighet, og deretter kunne utstede CSR-er for hvilket som helst nettsted de ville.

Den virkelige løsningen på dette er komplisert, for eksempel bred bruk av Online Security Certificate Protocol (OSCP) eller bruk av tillitsnettverk, og vil kreve en større ny utforming av hvordan Internett fungerer. Foreløpig er nettleserprodusenter i gang med å lappe opp etter at en hendelse inntreffer. Siden DigiNotar-bruddet, har alle populære nettlesere blitt oppdatert, og tilliten til denne CA er fjernet. Dette betyr at nettsteder som har et sertifikat signert av DigiNotar, ikke lenger vil fungere i Firefox, Chrome, IE eller Safari. Men dette er neppe en god løsning. Det tok over en måned mellom det første bruddet og lappene.

Formildende trusselen

I mellomtiden er det ting som kan gjøres. For det første, hvis du er i et lukket sted, hvor det forventes at folk bare vil reise til veldig spesifikke nettsteder, gir det ingen mening for nettleserne å stole på Hong Kong-postkontoret, Kina-sertifiseringsmyndigheten eller utallige andre steder som nettleseren din stoler på. Du kan gå inn manuelt og fjerne tilliten til alt annet enn de beste CA-ene.

Figur B

Men selv det er ikke en sikker måte å forhindre en slik hacking. Derfor er det utvidelser der ute som gjør en side-for-site-sjekk for å sikre at sertifikater ikke endres uten grunn. En slik utvidelse er CertPatrol for Firefox. Hver gang du går til et sikkert nettsted, lagrer det sertifikatets fingeravtrykk. Når du går tilbake, sammenligner det gjeldende sertifikat med det det lagret. Den vil da varsle deg hvis noe mistenkelig skjedde. Hvis for eksempel sertifikatet til et nettsted hadde seks måneder frem til utløpet og plutselig ble endret, kan det være mistenkelig. Verre er det at hvis du gikk til et nettsted som ble signert av VeriSign, og nå er det signert av et norsk selskap du aldri har hørt om, er det et stort rødt flagg.

Et annet nyttig sikkerhetstiltak var noe Chrome-utviklerne la til. Alle Google-nettsteder er signert av noen få pålitelige myndigheter, og Chrome vet om dem. For eksempel vil ikke Chrome la deg koble til Gmail hvis det ble signert av feil CA. Hvis organisasjonen din bruker Google Apps, kan dette være en god grunn til å bytte til Chrome.

Til slutt er det viktig å huske at denne typen sikkerhetsproblemer ikke er noe som må løses et enkelt sted. For å utnytte det, må hackerne også injisere seg på en eller annen måte, enten på brukerdatamaskiner via malware, i nettverket ditt ved å bryte gjennom brannmurer, eller ved å endre DNS til brukerne dine. Hver av disse angrepsvektorene må sikres. Det er ting du kan gjøre som å angi statiske adresser i DNS-serverne dine for nettsteder brukerne dine ofte må ha tilgang til, for eksempel partnerselskaper, lønnsportaler og så videre, noe som vil forhindre at noen bruker et falskt sertifikat for å lure noen til å koble seg til feil side.

DigiNotar-bruddet vil skje igjen. Med hundrevis av CAer som er klarert over hele verden, er det et saftig mål, og hackere gir aldri opp. Men selv om slike ting blir hacket, trenger det ikke bety at du eller organisasjonen din må være sårbar. Ved å gjøre noen av tingene jeg listet opp, kan du redusere sjansen for at et slikt problem kan påvirke brukerne dine.

Les også:

  • SSL / TLS-kryptering og den ledige partisvindelen
  • Administrere SSL-sertifikatmyndigheter på OS X

© Copyright 2020 | mobilegn.com