Πιστοποιητικά ασφαλείας διεύθυνσης προκαλούν ζήτημα αξιοπιστίας SSL

Ως καταναλωτές μάθαμε να εμπιστευόμαστε το εικονίδιο λουκέτου που εμφανίζεται στη γραμμή διευθύνσεων των προγραμμάτων περιήγησης. Μας είπαν ότι αποτελεί σημάδι ότι η επικοινωνία μας με έναν ιστότοπο είναι ασφαλής. Αλλά το συμβάν αυτό το βράδυ με την Google και μια τουρκική εταιρεία ασφαλείας παραβιάζει αυτή την έννοια.

Η εταιρεία, TurkTrust, αποκάλυψε αυτή την εβδομάδα ότι τον Αύγουστο του 2011 εκδόθηκε τυχαία δύο βασικά κλειδιά σε δύο "οντότητες". Τα βασικά κλειδιά, που ονομάζονται ενδιάμεσα πιστοποιητικά, επιτρέπουν στις οντότητες να δημιουργούν ψηφιακά πιστοποιητικά για οποιοδήποτε τομέα στο Διαδίκτυο.

Τα ψηφιακά πιστοποιητικά είναι στην πραγματικότητα κλειδιά κρυπτογράφησης που χρησιμοποιούνται για την επαλήθευση ότι ένας ιστότοπος είναι αυτός που λέει ότι είναι. Το πιστοποιητικό για την τράπεζά σας, για παράδειγμα, επιβεβαιώνει στο πρόγραμμα περιήγησής σας ότι μιλάτε στην τράπεζά σας όταν κάνετε online banking.

[Περαιτέρω ανάγνωση: Τρόπος κατάργησης κακόβουλου λογισμικού από τον υπολογιστή σας Windows]

Χρησιμοποιούνται πιστοποιητικά για να κρυπτογραφήσετε πληροφορίες ανάμεσα σε εσάς και σε έναν ιστότοπο. Αυτό σημαίνει το πράσινο λουκέτο στη γραμμή διευθύνσεων του browser σας. Το πρόγραμμα περιήγησης επικοινωνεί με τον ιστότοπο χρησιμοποιώντας το Secure Sockets Layer μετά την επαλήθευση της αυθεντικότητάς του

Ένας κακόβουλος διαδικτυακός χρήστης με ψεύτικο πιστοποιητικό που μπορεί να παρακολουθήσει την επικοινωνία μεταξύ σας και ενός αξιόπιστου ιστότοπου μπορεί να ξεγελάσει το πρόγραμμα περιήγησής σας για να πιστέψει ότι επικοινωνεί με τον αξιόπιστο ιστότοπο και να καταλάβετε την επικοινωνία σας. Αυτό που λέγεται "άνθρωπος στη μέση επίθεση", επειδή ο κλέφτης κάθεται ανάμεσα σε εσάς και την αξιόπιστη περιοχή.

Το σφάλμα έχει διορθωθεί, το πρόβλημα συνεχίζεται

Το Google έκανε ανακάλυψη του σφάλματος του TurkTust από την παραμονή των Χριστουγέννων, πλατφόρμα που θέτει μια κόκκινη σημαία στην Google όταν κάποιος προσπαθεί να χρησιμοποιήσει την πλατφόρμα με μη εξουσιοδοτημένο πιστοποιητικό.

Μετά την ανακάλυψη του προβλήματος του πιστοποιητικού, η Google ενημέρωσε την TurkTrust για την κατάσταση, καθώς και για τις εταιρείες Microsoft και Mozilla, για να μπλοκάρει τα πιστοποιητικά απατεώνων που δημιουργήθηκαν με την αρχή ενδιάμεσου πιστοποιητικού.

Αυτό το πιστοποιητικό snafu είναι μόνο το τελευταίο σημάδι ότι χρειάζεται να επιδιορθωθεί το υφιστάμενο σύστημα έκδοσης ψηφιακών πιστοποιητικών. Τον Μάρτιο του 2011, για παράδειγμα, μια εταιρεία συνδεδεμένη με την αρχή έκδοσης πιστοποιητικών Comodo παραβιάστηκε και εκδόθηκαν εννέα πλαστά πιστοποιητικά.

Αργότερα μέσα στο έτος, οι χάκερ παραβίασαν μια ολλανδική αρχή πιστοποίησης DigiNotar και εξέδωσαν δεκάδες πλαστών πιστοποιητικών, Google. Το

Ζητήθηκε: Ασφάλεια επόμενης γενιάς

Έχουν διατυπωθεί αρκετές προτάσεις για την αντιμετώπιση των προβλημάτων ασφάλειας γύρω από τα πιστοποιητικά.

Υπάρχει σύγκλιση. Επιτρέπει σε ένα πρόγραμμα περιήγησης να αποκτήσει μια δεύτερη γνώμη σχετικά με ένα πιστοποιητικό από μια πηγή που έχει επιλέξει ένας χρήστης. "Είναι μια φανταστική ιδέα, αλλά μόλις μπείτε σε ένα εταιρικό δίκτυο και είστε πίσω από έναν πληρεξούσιο ή πίσω από έναν μεταφραστή δικτύου, μπορεί να σπάσει", δήλωσε σε συνέντευξή του ο Chet Wisniewski, σύμβουλος ασφάλειας με τη Sophos. > Υπάρχει DNSSEC. Χρησιμοποιεί το σύστημα ανάλυσης ονομάτων τομέα - το σύστημα που μετατρέπει τα κοινά ονόματα ιστότοπων σε αριθμούς - για να δημιουργήσει έναν αξιόπιστο σύνδεσμο μεταξύ του χρήστη και του ιστότοπου. Όχι μόνο δεν είναι εύκολο να γίνει κατανοητό το σύστημα, αλλά η υλοποίησή του μπορεί να διαρκέσει χρόνια. <"Το πρόβλημα με το DNSSEC απαιτεί την εφαρμογή μιας νέας τεχνολογίας και μια συντονισμένη αναβάθμιση της υποδομής πριν μπορέσουμε να την εκμεταλλευτούμε", δήλωσε ο Wisniewski. «Με τα ποσοστά υιοθέτησης που έχουμε δει μέχρι στιγμής αυτό σημαίνει ότι δεν θα έχουμε μια λύση στη θέση μας για δέκα ή 15 χρόνια. Αυτό δεν είναι αρκετά καλό».

Επίσης προτείνονται δύο τεχνικές "pinning" Επέκταση για HTTP και αξιόπιστες υποθέσεις για τα κλειδιά πιστοποιητικών (TACK), τα οποία είναι παρόμοια.

Επιτρέπουν σε έναν ιστότοπο να τροποποιήσει μια κεφαλίδα HTTP για να προσδιορίσει τις αρχές πιστοποίησης που εμπιστεύονται. Ένα πρόγραμμα περιήγησης θα αποθηκεύει αυτές τις πληροφορίες και θα δημιουργεί μόνο μια σύνδεση με έναν ιστότοπο αν λάβει ένα πιστοποιητικό που έχει υπογραφεί από μια αρχή πιστοποίησης που εμπιστεύεται ο ιστότοπος.

Οι προτάσεις πρόσδεσης είναι πιο πιθανό να υιοθετηθούν για να θεραπεύσουν το πρόβλημα των πιστοποιητικών, σύμφωνα με τον Wisniewski. "Θα μπορούσαν να υιοθετηθούν σύντομα", είπε. "Επιτρέπουν στους ανθρώπους που θέλουν να επωφεληθούν από την προηγμένη ασφάλεια να το κάνουν αμέσως, αλλά δεν σπάει κανένα υπάρχον πρόγραμμα περιήγησης που δεν ενημερώνεται."

Οποιοσδήποτε κατασκευαστής προγράμματος περιήγησης υιοθετεί για να αντιμετωπίσει το πρόβλημα του πιστοποιητικού, πρέπει να κάντε το σύντομα. Διαφορετικά, ο snafus θα συνεχίσει να πολλαπλασιάζεται και η εμπιστοσύνη στο Διαδίκτυο μπορεί να βλάψει ανεπανόρθωτα.