Eksperci z firmy Trend Micro ostrzegają!
Eksperci z firmy Trend Micro podkreślają, że historia kradzieży certyfikatów holenderskiej firmy DigiNotar ma olbrzymi wpływ na użytkowników internetu, władze, a nawet na podstawy zaufania do sieci jako takiej . DigiNotar jest holenderskim urzędem certyfikacyjnym. Może przyznawać certyfikaty, które umożliwiają stronom oferującym bezpieczną, zaszyfrowaną wymianę danych udowodnienie, że są tym, za kogo się podają. Certyfikaty te można porównać do cyfrowych paszportów. Ostatnio doszło do naruszenia zabezpieczeń firmy DigiNotar i wydano dużą liczbę fałszywych certyfikatów.
,,Kiedy wchodzimy na stronę banku, skrzynkę pocztową, czy jakąkolwiek inną stronę z zabezpieczeniami, w tle dochodzi do wymiany certyfikatów jeszcze zanim rozpocznie się szyfrowana wymiana danych. Przeglądarka dysponuje listą „głównych urzędów”, których certyfikaty są uznane za godne zaufania. Jeśli strona przedstawia się za pomocą ważnego certyfikatu, nasza przeglądarka „zaufa” jej i rozpocznie się szyfrowana wymiana informacji. Jeśli certyfikat jest ważny, wszystkie procesy odbywają się w tle, bez udziału użytkownika końcowego” - mówi Rik Ferguson, starszy doradca ds. bezpieczeństwa w firmie Trend Micro.
Ważny certyfikat posiada nazwę zgodną z nazwą strony, która się nim legitymuje, ma datę ważności, która nie została przekroczona i, przede wszystkim, posiada podpis wydany przez urząd certyfikacji.
W normalnej sytuacji, kiedy przeglądamy strony internetowe, możemy połączyć się z naszego komputera bezpośrednio z bankiem - jesteśmy wtedy w zaufanym obszarze sieci i nic nam nie grozi. Jeśli jednak nasze połączenie odbywa się za pośrednictwem serwera proxy, należącego do dostawcy usług, czy też władz, jak ma to miejsce w przypadku bardziej restrykcyjnych państw, pojawia się ryzyko. Właściciel serwera proxy może posłużyć się sfałszowanymi certyfikatami i odegrać rolę „pośrednika”. Istnieje też ryzyko związane z sieciami publicznymi takimi jak hotspoty wi-fi - również w ich przypadku dostawca często używa serwera proxy. W normalnych warunkach kodowany transfer dotrze do celu nietknięty, ale jeśli cyberprzestępca dysponuje nielegalnym certyfikatem i ma niecne zamiary to może przechwycić dane użytkownika. Firma Trend Micro zebrała twarde dowody na to, że fałszywe certyfikaty wydane wskutek włamania do DigiNotar zebrały nieproporcjonalnie wiele ofiar wśród użytkowników w Iranie, co jest podejrzane. W tym państwie cały ruch w internecie musi przejść przez zatwierdzone przez państwo serwery proxy, idealnych pośredników. „Korzyści” płynące z posiadania fałszywych certyfikatów są w tym przypadku jasne.
Wszystkie zakodowane połączenia ze stronami wybranymi przez przestępców mogą teraz zostać rozszyfrowane na ich życzenie bez jakiejkolwiek wiedzy użytkownika końcowego. Według doniesień wśród skradzionych certyfikatów znajdują się również te przeznaczone dla domen .com i .org, co znaczy, że każde połączenie z którąkolwiek ze stron tego typu może zostać przechwycone. Czy to wydarzenie burzy fundamenty zaufania komunikacji online? Nie do końca, choć z pewnością wskazuje na słabe ogniwo w łańcuchu. Powinnością instytucji, którym powierzono zadanie potwierdzania tożsamości i walidacji serwerów, jest zagwarantowanie najwyższego poziomu zabezpieczeń ich własnych systemów i sieci, które znajdują się na samej górze tego łańcucha pokarmowego. Jednocześnie należy pamiętać, że przy projektowaniu zabezpieczeń zawsze zakłada się, że dojdzie do włamania. W takim wypadku kluczowym elementem szybkiej reakcji jest szczerość i transparentność ze strony instytucji, która padła ofiarą ataku.
Szczegóły włamania powinny zostać natychmiast upublicznione, umożliwiając cofnięcie ważności skradzionych certyfikatów, co sprawia, że przeglądarki na całym świecie przestają je akceptować i przez to ogranicza negatywne skutki ataku. Niestety w przypadku DigiNotar początkowe informacje określały skalę włamania jako minimalną, szczegóły poznajemy dopiero teraz, kilka dni później. Obecnie wiemy, że wydano 531 fałszywych certyfikatów, również tych przeznaczone dla domen .com i .org. W porównaniu z tą skalą certyfikaty dla WindowsUpdate wypadają blado. Wielu producentów przeglądarek i systemów operacyjnych cofnęło już status wierzytelności certyfikatom DigiNotar, co najprawdopodobniej oznacza bardzo poważne, a być może nawet zabójcze konsekwencje dla tej firmy.