Αναθερμαίνοντας τις ανησυχίες σχετικά με το σύστημα που χρησιμοποιούν εκατομμύρια ιστοτόποι για να κρυπτογραφούν και να αυθεντικοποιούν ευαίσθητα δεδομένα, η Google έπιασε μία Γαλλική κυβερνητική υπηρεσία που πλαστογραφούσε ψηφιακά πιστοποιητικά για διάφορα domains της Google.
Τα SSL (secure sockets layer) διαπιστευτήρια ήταν ψηφιακά υπογεγραμμένα από μία έγκυρη αρχή πιστοποίησης (certificate authority), μία επίσημη έγκριση που έκανε τους περισσότερους δημοφιλείς browsers να τοποθετούν το "HTTPS" μπροστά από τις διευθύνσεις και να απεικονίζουν άλλα λογότυπα που πιστοποιούσαν ότι η σύνδεση ήταν εξουσιοδοτημένη από την Google. Στην πραγματικότητα τα πιστοποιητικά ήταν μη-εξουσιοδοτημένα πλαστά διπλότυπα που τα έκδιδαν παραβιάζοντας τους καθιερωμένους κανόνες των κατασκευαστών browser και των αρχών πιστοποίησης.
Τα πιστοποιητικά εκδίδονταν από μία ενδιάμεση αρχή πιστοποίησης (intermediate certificate authority) που συνδέεται με την Γαλλική υπηρεσία κυβερνο-άμυνας, Agence nationale de la sécurité des systèmes d’information, γνωστή ως ANSSI. Αφού έφερε η Google τα πιστοποιητικά αυτά στην προσοχή των υπαλλήλων του οργανισμού, οι υπάλληλοι είπαν ότι το ενδιάμεσο πιστοποιητικό χρησιμοποιήθηκε σε μία εμπορική συσκευή που ήταν σε ένα ιδιωτικό δίκτυο, για να ελέγξουν και να επιτηρήσουν την κρυπτογραφημένη κίνηση, με την γνώση των τελικών χρηστών, όπως γράφει σε δημοσίευση του σε ένα blog το σαββατοκύριακο ο Adam Langley, μηχανικός ασφαλείας της Google. Η Google ανανέωσε τον Chrome browser της να απορρίπτει όλα τα πιστοποιητικά που είναι ψηφιακώς υπογεγραμμένα από την ενδιάμεση αρχή πιστοποίησης και ζήτησε από τους άλλους κατασκευαστές browser να κάνουν το ίδιο. Η Mozilla, ο κατασκευαστής του Firefox και η Microsoft, κατασκευαστής του Internet explorer ακολούθησαν αμέσως μετά. Η ANSSI κατόπιν έριξε το φταίξιμο σε ανθρώπινο λάθος. Δήλωσε ότι δεν είχε καμία συνέπεια στην ασφάλεια της Γαλλικής κυβέρνησης ή του κοινού, ωστόσο η υπηρεσία πάραυτα ανάκλησε το πιστοποιητικό.
Μία ενδιάμεση αρχή πιστοποίησης είναι ένας σημαντικός κρίκος στην "αλυσίδα εμπιστοσύνης" (chain of trust) που είναι κλειδί για την προστασία των συνδέσεων με SSL και με το μεταγενέστερο πρωτόκολλο γνωστό ως TLS (Transport Layer Security). Επειδή τα ενδιάμεσα πιστοποιητικά είναι ψηφιακώς υπογεγραμμένα από ένα κορυφαίο πιστοποιητικό (root certificate) ενσωματωμένο στον browser, έχουν την δυνατότητα να δημιουργήσουν απεριόριστα ψηφιακά πιστοποιητικά για σχεδόν όλους τους ιστοτόπους. Τα μεμονωμένα πιστοποιητικά γίνονται δεκτά από τους περισσότερους browsers. Η έκδοση ενδιάμεσων πιστοποιητικών που πλαστογραφούν πιστοποιητικά για domains της Google ή για άλλα domains/ιστότοπους τρίτων είναι μία σημαντική παραβίαση του πρωτοκόλλου. Θα γινόταν μεγάλη απειλή εάν ένα από μεμονωμένα πιστοποιητικά, ή ακόμα χειρότερα το ενδιάμεσο πιστοποιητικό, έπεφτε ποτέ σε λάθος χέρια.
Δεν είναι η πρώτη φορά
Το περιστατικό αυτό είναι απλώς το πιο πρόσφατο που βγάζει στην επιφάνεια τις μεγάλες αδυναμίες του SSL συστήματος. Στις αρχές του 2012, κάποιοι επικριτές ζήτησαν να καθαιρεθεί η Trustwave ως έμπιστη αρχή πιστοποίησης και έκδοσης πιστοποιητικών, μετά από την παραδοχή της ίδιας ότι εξέδωσε ένα πιστοποιητικό σε έναν πελάτη της που το χρησιμοποίησε για να υποδυθεί ιστότοπους που δεν άνηκαν στον ίδιο. Και στις δύο περιπτώσεις, τα μη-εξουσιοδοτημένα πιστοποιητικά χρησιμοποιήθηκαν για να βοηθήσουν τους διαχειριστές δικτύου να ελέξγουν/επιτηρήσουν την κρυπτογραφημένη κίνηση που διερχόταν μέσα στα συστήματά τους. Αν και οι κάτοχοι των μη-εξουσιοδοτημένων πιστοποιητικών δεν σκόπευαν να τα χρησιμοποιήσουν για να επιτεθούν σε χρήστες του Διαδικτύου, οι επικριτές κατέκριναν την πρακτική αυτή γιατί έχει την δυνατότητα να προκαλέσει ζημιά σε τρίτους παρευρισκόμενους.
Πιο ανησυχητικές όμως είναι οι πραγματικές παραβιάσεις ασφαλείας σε αρχές πιστοποίησης που, τουλάχιστον σε μία περίπτωση, έχουν επιτρέψει στους επιτιθέμενους να δημιουργήσουν πλαστογραφημένα πιστοποιητικά που χρησιμοποιήθηκαν για την υποκλοπή υπηρεσιών ιστότοπων που άνηκαν σε τρίτους. Αυτό ακριβώς έγινε το 2011, όταν ερευνητές ασφαλείας εντόπισαν ένα ψευδές πιστοποιητικό για το google.com, που έδινε στους επιτιθέμενους την δυνατότητα να υποδύονται τις email και άλλες υπηρεσίες του ιστότοπου αυτού. Το πλαστογραφημένο πιστοποιητικό εκδόθηκε αφού οι επιτιθέμενοι παραβίασαν την ασφάλεια της Ολλανδικής DigiNotar και απέκτησαν έλεγχο στα συστήματά έκδοσης πιστοποιητικών της. Μέσα σε λίγες ημερες μετά την ανακάλυψη, οι περισσότεροι browsers κυκλοφόρησαν αναβαθμίσεις για να αποκλείουν το πιστοποιητικό αυτό, αλλά σχεδόν 300.000 άτομα, οι περισσότεροι στο Ιραν, δεν πρόλαβαν να αναβαθμίσουν τους browser τους και εκτέθηκαν στο πιστοποιητικό καθώς συνδέονταν με τους servers του Gmail.
Τα περιστατικά αυτά στο σύνολό τους, αναδεικνύουν μία από τις βασικές αδυναμίες του SSL συστήματος. Παρά την σπουδαιότητα του για εκατομμύρια online τράπεζες, e-commerce υπηρεσίες και άλλους ιστοτόπους, όλο το σύστημα μπορεί να υπονομευθεί από ένα ενιαίο σημείο αποτυχίας. Με εκατοντάδες αρχές πιστοποίησης που εμπιστεύονται οι τυπικοί browser, το μόνο που χρειάζεται είναι ένας από αυτούς να παραβιαστεί ή υποκλαπεί με κάποιο τρόπο.
Μηχανικοί έχουν προτείνει μερικούς τρόπους για την βελτίωση της ακεραιότητας του SSL συστήματος. Ένας από αυτούς είναι γνωστός ως "ανάρτηση πιστοποιητικών" (certificate pinning) και είναι ήδη διαθέσιμος στον Chrome, στο ΕΜΕΤ λογισμικό ασφαλείας της Microsoft καθώς και σε άλλες εφαρμογές. Η ανάρτηση λειτουργεί με την εξέταση του ψηφιακού αποτυπώματος (fingerprint) ενός πιστοποιητικού που χρησιμοποιείται από ένα συγκεκριμένο ιστότοπο για να εξασφαλισθεί ότι ταιριάζει με αυτό που είναι γνωστό ως έγκυρου. Οι browsers που χρησιμοποιούν αυτό το σύστημα θα απορρίψουν όλα τα υπόλοιπα πιστοποιητικά ενός ιστοτόπου, ακόμα και αν τα στοιχεία είναι υπογεγραμμένα από μία έγκυρη αρχή πιστοποίησης. Μία ακόμα προτεινόμενη λύση, που υποβλήθηκε ως ένα προτεινόμενο πρότυπο στο Internet Engineering Taskforce από τον ερευνητή Moxie Arlinspike, θα λειτουργούσε με τον ίδιο τρόπο αλλά θα δούλευε σε όλους τους browser και του ιστοτόπους. Υπάρχουν μερικές άλλες προτάσεις υπό εξέταση, συμπεριλαμβανομένης και μίας από την Google που ονομάζεται "διαφάνεια πιστοποιητικών" (certificate transparency) και μία που αναπτύσσεται από μηχανικούς της Red Hat.
Πηγή: Ars Technica
Εμφάνιση 1-15 από 15
-
10-12-13, 04:48 Γαλλική υπηρεσία πιάστηκε να πλαστογραφεί SSL πιστοποιητικά που υποδύονταν την Google #1
-
10-12-13, 07:30 Απάντηση: Γαλλική υπηρεσία πιάστηκε να πλαστογραφεί SSL πιστοποιητικά που υποδύονταν την Google #2
Είναι επειδή θέλουν το καλό μας. Αν χαθεί και η εμπιστοσύνη στις αρχές πιστοποίησης...
"Είμαι άνθρωπος και έχω αξιοπρέπεια.
Δεν δέχομαι να με διαφεντεύει ένας ξένος γιατί τότε είμαι σκλάβος"
Sami Sharaf (former Egypt Minister)για τη διαχείρηση της διώρυγας του Σουέζ από τους Αγγλους
-
10-12-13, 09:28 Απάντηση: Γαλλική υπηρεσία πιάστηκε να πλαστογραφεί SSL πιστοποιητικά που υποδύονταν την Google #3
Μάθαμε ποια είναι η ενδιάμεση αρχή πιστοποίησης;
-
10-12-13, 10:35 Απάντηση: Γαλλική υπηρεσία πιάστηκε να πλαστογραφεί SSL πιστοποιητικά που υποδύονταν την Google #4
-
10-12-13, 14:06 Απάντηση: Γαλλική υπηρεσία πιάστηκε να πλαστογραφεί SSL πιστοποιητικά που υποδύονταν την Google #5
Γενικα ειναι μεγαλο ζητημα του τι μπορεις να εμπιστευτεις στα πιστοποιητικα. Ακομα και το certificate pinning ειναι αμφησβητησιμο. Παντα θα βρισκουν τροπους για απατεωνιες. Το μονο που μπορει να γινει ειναι περιορισμος.
-
10-12-13, 14:15 Re: Γαλλική υπηρεσία πιάστηκε να πλαστογραφεί SSL πιστοποιητικά που υποδύονταν την Google #6
Εδώ και αρκετό καιρό πάντως υπάρχει η τάση σε εταιρίες που χρησιμοποιούν certificates για εσωτερικούς σκοπούς ( ταυτοποίηση συσκευών στο δίκτυο/κτλ ) , να προτιμούν να στήσουν δικό τους CA κι ας μην θεωρείται έγκυρος, από το να βασιστούν σε κάποιον ( έγκυρο ) τρίτο .
In theory, practice is the same as theory.
In practice, it isn't.
-
10-12-13, 16:44 Απάντηση: Γαλλική υπηρεσία πιάστηκε να πλαστογραφεί SSL πιστοποιητικά που υποδύονταν την Google #7
Καλοί οι Γάλλοι, αφού έγιναν τσακωτοί με τα σόβρακα κατεβασμένα, απαντούν α! συγνώμη ανθρώπινο λάθος, δεν το κάναμε επίτηδες.
-
10-12-13, 18:41 Απάντηση: Γαλλική υπηρεσία πιάστηκε να πλαστογραφεί SSL πιστοποιητικά που υποδύονταν την Google #8
τα λεγε ο Πάγκαλος
Σεβασμός & Απειθαρχία
δεν αντέχετε το 50-50
δεν το αντέχετε
-
10-12-13, 18:42 Απάντηση: Re: Γαλλική υπηρεσία πιάστηκε να πλαστογραφεί SSL πιστοποιητικά που υποδύονταν την Google #9
-
10-12-13, 19:34 Απάντηση: Γαλλική υπηρεσία πιάστηκε να πλαστογραφεί SSL πιστοποιητικά που υποδύονταν την Google #10
Ενα εξαιρετικο αρθρο πανω στο θεμα
https://www.grc.com/fingerprints.htm
-
10-12-13, 19:39 Απάντηση: Γαλλική υπηρεσία πιάστηκε να πλαστογραφεί SSL πιστοποιητικά που υποδύονταν την Google #11
Κάθε browser διατηρεί λίστα με τις CA που θεωρεί έμπιστες, δεν πειράζει να κάνει και κάτι παραπάνω για την ασφάλειά μας...
Άλλωστε το pinning δεν αντικαθιστά τις "αρχές πιστοποίησης", το πιστοποιητικό που θεωρεί έγκυρο ο browser πρέπει να είναι και υπογεγραμμένο από κάποια έμπιστη CAs.
Ενδιαφέρουσα λύση στα προβλήματα που έχει το σύστημα των CAs είναι αυτή της convergence:
convergence.ioIt is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
So when you are requested to pay up or be molested,/You will find it better policy to say: --
"We never pay any-one Dane-geld,/No matter how trifling the cost;
For the end of that game is oppression and shame,/And the nation that plays it is lost!"
Rudyard Kipling
-
10-12-13, 19:59 Απάντηση: Γαλλική υπηρεσία πιάστηκε να πλαστογραφεί SSL πιστοποιητικά που υποδύονταν την Google #12You thought there would be a funny slogan here.
You just fell for one of my classical pranks.
Bazinga
-
10-12-13, 20:01 Απάντηση: Γαλλική υπηρεσία πιάστηκε να πλαστογραφεί SSL πιστοποιητικά που υποδύονταν την Google #13
By default οι έμπιστες CA είναι όσες εμπιστεύεται o browser.
Αν χρησιμοποιείς firefox εμπιστεύεσαι by default όσες CA εμπιστεύεται η Mozilla...It is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
So when you are requested to pay up or be molested,/You will find it better policy to say: --
"We never pay any-one Dane-geld,/No matter how trifling the cost;
For the end of that game is oppression and shame,/And the nation that plays it is lost!"
Rudyard Kipling
-
10-12-13, 20:08 Απάντηση: Γαλλική υπηρεσία πιάστηκε να πλαστογραφεί SSL πιστοποιητικά που υποδύονταν την Google #14
Όταν λέω "'έμπιστο" εννοώ κυριολεκτικά, όχι με την έννοια του πρωτοκόλλου.
You thought there would be a funny slogan here.
You just fell for one of my classical pranks.
Bazinga
-
12-12-13, 00:06 Απάντηση: Γαλλική υπηρεσία πιάστηκε να πλαστογραφεί SSL πιστοποιητικά που υποδύονταν την Google #15
Παρόμοια Θέματα
-
Η Android app Brightest Flashlight "πιάστηκε" να μαζεύει κρυφά δεδομένα που μοίραζε σε διαφημιστικά δίκτυα
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 54Τελευταίο Μήνυμα: 09-12-13, 23:56 -
Την Google Play Newsstand που συνδυάζει την Play Magazines και το Google Currents έφτιαξε η Google
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 9Τελευταίο Μήνυμα: 25-11-13, 20:35 -
Οι Microsoft, Nokia και άλλες εταιρίες, κατηγορούν στην Ε.Ε την Google για μονοπώλιο με χρήση του Android
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 94Τελευταίο Μήνυμα: 03-05-13, 12:48 -
Πληροφορίες θέλουν την Google να ετοιμάζει αναβάθμιση του Jelly Bean και να καθυστερεί την έκδοση 5.0
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 7Τελευταίο Μήνυμα: 01-05-13, 03:03 -
Η Google σταματάει να παρέχει δωρεάν σε νέους λογαριασμούς την υπηρεσία Google Apps for Business
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 40Τελευταίο Μήνυμα: 19-12-12, 04:33
Bookmarks