Bezpieczne certyfikaty SSL cieszą się bezgranicznym zaufaniem większości internautów. Ich reputacja jest jednak zagrożona. F-Secure przestrzega przed atakami wynikającymi ze zbyt dużego zaufania do certyfikatów.
Niedawny przypadek z włamaniem do systemu firmy Comodo obnażył luki w systemie certyfikacji SSL. Haker – prawdopodobnie pochodzący z Iranu – zdobył login i hasło jednego z włoskich resellerów tej firmy, wydając za jego pośrednictwem dziewięć fałszywych certyfikatów dla tak popularnych domen jak Google.com, Yahoo.com i Skype.com. – Głównym problemem jest brak odpowiedzialności dostawców i nabywców certyfikatów – pisze na blogu Mikko Hypponen, szef działu badań F-Secure.
– To, że mały reseller we Włoszech może wydać certyfikat np. dla Google, po prostu nie mieści się w głowie. Coś takiego powinno uruchomić jakieś procedury sprawdzające, a niestety tak się nie stało – pisze Mikko Hypponen.
Co można zrobić dzięki fałszywemu certyfikatowi? – Załóżmy, że jesteśmy rządem jakiegoś państwa i możemy kontrolować routing w danym kraju. Przekierowanie np. wszystkich użytkowników Skype’a na fałszywy adres logowania jak https://login.skype.com i zebranie ich loginów i haseł – przy pozornie włączonym szyfrowaniu SSL – nie stanowiłoby problemu – ostrzega Hypponen. – Można byłoby też przeczytać ich maile na Yahoo, Google czy Hotmailu. Nawet większość osób uznających się za znawców technologii mogłaby tego nie zauważyć – dodaje.
Podobny przypadek odkrył w sierpniu zeszłego roku Jarno Niemelä, starszy specjalista ds. badań w F-Secure. Złośliwe oprogramowanie zostało podpisane certyfikatem, którego właścicielem okazała się być… mała firma konsultingowa, nie produkująca żadnego oprogramowania. Twórca wirusa zdobył dostęp do konta mailowego jednego z pracowników i wystąpił o certyfikat Comodo. Telefoniczną weryfikację najprawdopodobniej ułatwiło nieporozumienie.
Wcześniej do pracownika, któremu skradziono dane dostępowe, zadzwonił inny dostawca certyfikatów – Thawte. Kiedy pechowy pracownik powiedział, że nie występował o przyznanie certyfikatu podpisywania kodu, Thawte wstrzymało proces wydawania go. – To tylko potwierdza, że twórcy złośliwego oprogramowania będą próbować z wieloma dostawcami certyfikatów, aż do skutku – komentuje Mikko Hypponen. W przypadku, kiedy oszuści mają dostęp do kont e-mail jakiejś firmy, proces sprawdzenia, czy prośba o przyznanie certyfikatu jest prawdziwa jest bardzo trudny dla dostawcy.
Certyfikat SSL to dziś najpopularniejszy sposób na zabezpieczenie transakcji internetowych i ukrycie przepływających danych przed niepowołanymi osobami, powszechnie używane do zabezpieczenia wielu rodzajów stron, np. sklepów internetowych, systemów bankowości elektronicznej czy poczty elektronicznej. Dzięki którym możemy korzystać z bezpiecznych połączeń https, np. dokonując przelewu online. Internauci, a nawet duże firmy działające w sieci bezwarunkowo ufają firmom i urzędom wydającym certyfikaty (w skrócie zwanymi CAs, czyli Certification Authorities).
Czy słusznie? Nie do końca. Obecny system certyfikacji powstawał w latach 90. i nie jest dobrze przystosowany do dzisiejszych rozmiarów i stopnia skomplikowania Internetu. W dodatku obok największych firm certyfikacyjnych jak VeriSign, GoDaddy czy Comodo działają setki, a nawet tysiące mniejszych, regionalnych podmiotów – zazwyczaj są to właściwie resellerzy większych firm.
Dostawcy certyfikatów mają narzędzia do sprawdzania informacji o podejrzeniu wyłudzenia certyfikatów oraz innego rodzaju nadużyciach. – Niestety, te systemy również są obsługiwane przez ludzi, a więc zawodne. Musimy zaakceptować fakt, że certyfikaty stworzone na podstawie dzisiejszych systemów nie są bezwzględnie odporne – kończy Mikko Hypponen. Niestety, w przyszłości być może zobaczymy więcej przypadków wykorzystania przez twórców złośliwego oprogramowania niewinnej i szanowanej firmy jako pośrednika w wyłudzeniu legalnie działającego certyfikatu... ◊