Fałszywe certyfikaty: winni ludzie czy PKI?
Wobec afer z fałszywymi certyfikatami zasadne wydaje się pytanie, czy Infrastruktura Klucza Publicznego jest niezawodna? A może problem tkwi zupełnie gdzie indziej?
W przypadku stron WWW, jedną z głównych ról certyfikatów jest uwierzytelnienie domeny - tak, aby użytkownik odwiedzający daną witrynę był pewny, że dostał się tam, gdzie naprawdę chciał. Certyfikaty SSL są częścią systemu bezpieczeństwa nazywanego Infrastrukturą Klucza Publicznego (PKI). Jednostkami nadrzędnymi są w nim poszczególne Urzędy Certyfikacyjne (Certificate Authority - CA), które czuwają nad poprawnością przyznawania certyfikatów poszczególnym domenom.
Zobacz też: SSL: Notariaty - nowe podejście do weryfikacji certyfikatów
Z chwilą, gdy dojdzie do przejęcia CA przez hakerów, możliwe jest wygenerowanie wielu fałszywych "świadectw" bezpieczeństwa, które mogą służyć do uwiarygodnienia specjalnie przygotowanych stron WWW, udających oryginały. Przykładem, dobrze ilustrującym potencjalny stopień zagrożenia, jest niedawna działalność cyberprzestępców, którzy uzyskali 531 fałszywych certyfikatów SSL obejmujących domeny internetowe należące m.in. do CIA, Mossadu, rządu holenderskiego oraz firm takich, jak Google, Twitter czy Microsoft. Według informacji specjalistów są to ci sami ludzie, którzy włamali się do Urzędu Certyfikacji, należącego do firmy DigiNotar.
Przejęcie kontroli nad wystawianiem certyfikatów może posłużyć również do przeprowadzenia ataków typu "man-in-the-middle", pozwalających na podsłuchiwanie i modyfikowanie informacji przesyłanych między dwoma punktami końcowymi sieci (przy transmisji chronionej szyfrem).
Polecamy: Bezpieczeństwo IT: 10 przełomowych osiągnięć
Eksperci zajmujący się problematyką bezpieczeństwa sieciowego zgodnie przyznają, że do skutecznych włamań do Centrum Certyfikacji w ogóle nie powinno dojść. W całej sprawie ważniejszy wydaje się jednak inny aspekt - świadomość internautów dotycząca zagrożeń i wiedza na temat cyfrowych certyfikatów. Okazuje, że obie te kwestie pozostawiają wiele do życzenia. Mało kto przykłada wagę do ostrzeżeń, jakie generowane są przez certyfikaty - ważne jest, aby za wszelką cenę dostać się do danej strony WWW. Dla większości użytkowników dodatkowe komunikaty są po prostu drażniące i spowalniają jedynie proces otwierania się witryn.
Złe nawyki użytkowników są po części efektem zaniedbań przy trwającym niemal dwie dekady wdrażaniu elementów PKI. Certyfikaty SSL wielu stron internetowych zawierają błędy (np. niepoprawna nazwa hosta, błędy x.509, wygaśnięcie ważności), co dodatkowo zniechęca internautów do wczytywania się w skomplikowane komunikaty. Szczegółowe badania na ten temat przeprowadziła w ub. r. firma Qualys. Ivan Ristic, jej dyrektor techniczny, przedstawił wyniki podczas zeszłorocznej konferencji Black Hat.
Komentarze (1)
Moim zdaniem nieporozumienie polega na tym, że od samego początku koncepcji szyfrowania połączeń http ściśle powiązano je z biznesową machiną wydawania płatnych certyfikatów. Sytuacja jest taka, że samodzielnie wystawiane certyfikaty nikomu nie służą do uwiarygadniania serwera - o czym zapomniał wspomnieć autor, ale do uzyskania połączenia szyfrowanego. W rzeczywistości szyfrowanie i certyfikacja, to dwie odrębne rzeczy. Powinnio być tak, że do szyfrowania używamy narzędzi szyfrujących, a do uwiarygadniania - cerrtyfikatów. Oczywiście jest to głębokie uproszczenie, nie uwzględniające aktualnych implementacji obu (w jednym) systemów bezpieczeństwa. Efekt siłowej komercjalizacji systemu bezpieczeństwa jest taki, jak widać. Ludzie częściej świadomie wchodzą na zupełnie bezpieczne strony przedzierając się przez litanię zastrzeżeń, traktując to powoli, jako wyznacznik istnienia systemu bezpieczeństwa, a nie jego braku. Więc dlaczego szyfrowanie, które jest podniesieniem bezpieczeństwa samym w sobie, nie może istnieć bez wybulenia kasy, za coś, co grubie nastolatków stawiających forum do niczego nie jest potrzebne?
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...