margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: falešné certifikáty se stávají noční můrou

Pavel Houser , 08. září 2011 09:14 0 komentářů
Bezpečnostní přehled: falešné certifikáty se stávají noční můrou

Hlavní kauzou posledního týdne byly falešné bezpečnostní certifikáty podvržené v důsledku selhání firmy DigiNotar (certifikační autorita) a hacknutí DNS serveru, které se projevilo na řadě známých webů, ačkoliv ty přímo kompromitovány nebyly. Následuje pravidelný čtvrteční bezpečnostní přehled.

Homepage společnosti DigiNotar
Homepage společnosti DigiNotar
V kauze falešných certifikátů se stále objevují nové informace, pojďme se podívat, jak se o ní psalo „chronologicky“.

Holanská firma DigiNotar vydala stovky falešných bezpečnostních certifikátů; firma připustila, že útočníkům se podařilo kompromitovat její systém. Původně se zdálo, že nejvážnějším problémem bude bezpečnostní certifikát Googlu, posléze se ukázalo, že problém s falešnými certifikáty byl vážnější.

Útočníci stihli vytvořit podvodné certifikáty i např. pro weby typu CIA, Mossadu a britské MI6. Spolu s Google GMailem byl potenciálně kompromitován i Facebook, Twitter, Skype,Yahoo, Microsoft, Tor, WordPress nebo služba Windows Update. Ne ve všech případech byl ale problém stejně závažný.

DigiNotar vydávala certifikáty SSL a EVSL (Extended Validation Secure Sockets Layer). Tyto „otisky“ potvrzují, že uživatel přistupuje na pravý web, a odhalí se tak např. manipulace se záznamy DNS. Je-li certifikát v pořádku, má za normálních okolností uživatel jistotu, že není obětí podvodu a může dále klidně pracovat třeba s internetovým bankovnictvím. V tom je právě riziko současné kauzy.

Brzy vzniklo podezření, že za útokem stojí Írán, protože právě zde byly podvodné certifikáty nasazeny. Ti, kdo stojí za útokem, by se tímto způsobem mohli dostat např. k přístupovým údajům místních uživatelů GMailu. Objevily se již i příspěvky íránských uživatelů, kteří (přirozeně pod přezdívkami) tvrdili, že se měli stát právě obětí tohoto triku. To prý minimálně vyžadovalo nějakou podporu pro útok na úrovni místního poskytovatele Internetu (ParsOnline a další). Certifikační autorita DigiNotar tak svými chybami klidně může způsobit, že někdo v Íránu dostane trest smrti. Firma ve svém byznysu téměř jistě končí.

Výrobci prohlížečů se urychleně snaží, aby browsery uživatele před podvodnými certifikáty varovaly. Jenomže – falešné certifikáty byly v oběhu asi od 10. července a nikdo přesně neví, co všechno se mezi tím mohlo stát. A ani jak dlouho bude trvat, než pozastavení platnosti těchto certifikátů celým Internetem „probublá“.

The Register v této souvislosti poznamenává, že už nedávný problém s certifikáty Comodo naznačoval, že akce byla provedena z Íránu. K útoku se však přihlásil i kdosi, kdo tvrdí, že holanská firma se stala obětí za masakr v bosenské Srebenici, kterému nizozemští vojáci nezabránili (k tomu ovšem došlo v roce 1995).

Zdroj: The Register, HelpNet Security

Jak to vypadalo ve firmě Diginotar? Vyšetřování průniku provádí firma FoxIT, která audituje IT bezpečnost. Pohroma a ostuda. Nejdůležitější servery obsahovaly malware, který by mohl být detekován běžným antivirovým softwarem. Servery certifikační autority byly normálně propojeny s místní sítí LAN. Byly přístupné pouze kombinací jména a hesla, navíc špatně zvoleného a prolomitelného hrubou silou. Software na serverech byl nezáplatovaný atd.

Zdroj: HelpNet Security

Útočník z Íránu tvrdí, že získal přístup i k dalším certifikačním autoritám. Později uvedl, že jde o jeho individuální akci, za níž nestojí místní vláda. Má se mu věřit?

Zdroj: The Register

Stejnojmenná dánská operace na konci druhé světové války. Shoda jmen?
Stejnojmenná dánská operace na konci druhé světové války. Shoda jmen?

Akce proti firmě DigiNotar se začíná označovat jako Operace Černý tulipán. Kompromitováno mohlo podle ní být až 300 000 účtů íránských uživatelů GMailu. Vyšetřování by mohlo ukazovat, že k hacknutí došlo mnohem dříve, než se původně předpokládalo, už na počátku června. Falešné certifikáty tedy mohly být používány delší dobu. Útočníci podle vyšetřování zřejmě použili nástroj Cain & Abel, ale i řadu vlastních skriptů. Některé působí poměrně amatérsky, jiné pokročile. Použité prostředky nejspíš ukazují, že šlo opravdu o akci stejného jednotlivce nebo skupiny, která v březnu odcizila i digitální certifikáty partnera firmy Comodo.

Falešným certifikátům již nedůvěřuje software Mozilly, Googlu i Microsoftu (komentář Microsoftu na MS Security Response Center, řešení problému zatím neprovedl Apple. Firma Vasco, která DigiNotar koupila letos v lednu, tvrdí, že celý problém ale nijak neovlivňuje její základní produkt, bezpečnostní technologii DigiPass. Certifikáty DigiNotar do ní měly být totiž implementovány až příští rok.

Zdroj: The Register

Jak hodnotí kauzu CNet? Viz např. články tady, nebo zde. První text pokládá incident za konec důvěry nejen v některá místa na Internetu, ale v systém certifikátů jako celek. V druhém článku najdete mj. video od FoxIT k operaci Black Tulip. V reakci na incident přestala vydávat své SSL certifikáty také firma VeriSign. Útočník totiž prohlašuje, že dokáže vytvořit i falešné certifikáty dalších autorit, nicméně žádné důkazy nepředložil. VeriSign se domnívá, že nijak kompromitována nebyla, nicméně provádí vyšetřování svých systémů. Kauza nicméně stále bobtná a objevují se nové a nové informace...

Zdroj: The Register

Nyní k dalším nedávným událostem ze světa IT bezpečnosti

Web po útoku TurkGuvenligi
Web po útoku TurkGuvenligi

Celá řada webů vypadala jako hacknuta útočníky z Turecka (viz obrázek). Problém postihl mj. i námi často citovaný britský server The Register nebo The Daily Telegraph a National Geographics, z firem pak např. Vodafone, britský web Aceru a Microsoftu.

Kompromitován byl ale ve skutečnosti DNS server společnosti NetNames, samotné výše zmíněné weby nijak narušeny nebyly. The Register v době problémů provedl další bezpečnostní opatření, např. znepřístupnil veškeré služby vyžadující zadání hesla.

Samotný problém trval asi 3 hodiny, pro někoho ale déle (podvržený záznam mohl zůstat v cache v prohlížeči, směrovači, DNS serveru místního ISP...) Samotný The Register se stal jednou z obětí. Zde je citováno i vysvětlení společnosti NetNames.

Útočníci provedli průnik přes SQL injection a mohli libovolně měnit IP adresy odpovídající příslušným záznamům na DNS serveru.

K útoku se přihlásila turecká skupina TG (TurkGuvenligi, guvenligi má být v turečtině „bezpečnost“), která byla dle vlastního tvrzení nedávno odpovědná i za kompromitování řady webů v Jižní Korei. Zde byly hacknuty DNS záznamy firmy Gabia a problém pak postihl až 100 000 domén. TG pravděpodobně fungují pro vlastní zábavu a mediální publicitu, nesnaží se na svých útocích vydělat; přesměrovávají na web deklarující hacknutí, nepokoušejí se o nápodobu webů spojenou s phishingem ani o šíření malwaru.

Dále na toto téma viz. ZDNet, HelpNet Security

Hacker vystupující pod přezdívkou SparkyBlaze, dřívější člen skupiny Anonymous, poskytl v rozhovoru řadu doporučení, které by firmy měly provést, aby jejich sítě nebyly zranitelné vůči současné vlně útoků. Kromě obvyklých rad (šifrování, fyzická bezpečnost, systémy pro ochranu sítě IDS a IPS) doporučuje také najímat externí firmu, která by bezpečnostní situaci v podniku pravidelně auditovala. SparkyBlaze se od Anonymous a LulzSec distancoval kvůli tomu, že zveřejňují nikoliv jen uniklé informace vlád, ale i osobní údaje dalších lidí a útočí i proti soukromým subjektům.

Řada úspěšných útoků provedených v poslední době nebyla nijak sofistikovaných, nepoužívaly se zde např. techniky řazené do kategorie APT (Advanced Persistent Threats). K rozsáhlému narušení ale stačilo, aby někdo klikl na přílohu v e-mailu. Kompromitování jediného počítače pak umožnilo útočníkům i přístup k dalším zdrojům – chyběly např. systémy ochrany dat proti úniku (DLP).

Zdroj: InformationWeek

V této souvislosti viz také: Hackeři spříznění s Anonymous se přihlásili k Hollywood Leaks.

Zdroj: CNet

Za nalézání bezpečnostních zranitelností platí už i Facebook. Během prvních 3 týdnů existence tohoto programu firma odměnila účastníky programy 40 000 dolary. Maximální částka za reportování 1 chyby je určena na 5 000 dolarů. Zdroj: The Register

Poznámka: Přístup různých firem se zde liší, např. Mozilla a Google za reportované bezpečnostní chyby platí, Microsoft, Adobe a Oracle to odmítají. Microsoft vypisuje spíše jednorázové odměny např. za informace vedoucí k usvědčení autorů červů, provozovatelů botnetů apod.

Další dva údajní členové Anonymous zatčeni v Irsku – za narušení webu místní politické strany Fine Gael. Útočníci vystupující pod přezdívkami Raepsauce a Palladium nejen přepsali úvodní stránku, ale také se zmocnili souboru s osobními daty uživatelů registrovaných na daném webu. Oba mladíci jsou vyšetřováni na svobodě.

Zdroj: HelpNet Security


Komentáře

RSS 

Komentujeme

Sociální sítě pro B2B? Bláznovství!

Richard Jan Voigts , 17. květen 2017 07:00
Richard Jan Voigts

Agentura Ami Digital provedla průzkum ohledně využívání sociálních sítí v České republice. Ami Digit...

Více





RSS 

Zprávičky

Firmy zabývající se virtuální realitou zakládají asociaci

ČTK , 24. květen 2017 16:00

Cílem je propojit vývojářské týmy s universitami, investičními fondy a soukromým sektorem....

Více 0 komentářů

Sněmovna schválila novelu upravující přechod na vysílání DVB-T2

ČTK , 24. květen 2017 13:05

"Já jsem tam postrádal něco ve prospěch virtuálních mobilních operátorů," uvedl budoucí ministr fina...

Více 0 komentářů

Google chce propojit data z webové reklamy s nákupy v kamenných obchodech

ČTK , 24. květen 2017 10:46

Technologie dokáže propojit informace o tom, na co lidé na webu klikají a za co pak platí kartou v k...

Více 1 komentářů

Starší zprávičky

Apple a Nokia urovnaly patentový spor, podepsaly novou dohodu

ČTK , 24. květen 2017 10:00

Analytiky překvapilo relativně rychlé vyřešení sporu....

Více 0 komentářů

ČTÚ: Aukce kmitočtů v pásmu 3,7 GHz se zúčastní 6 subjektů

Pavel Houser , 24. květen 2017 09:00

Podle harmonogramu by ostrá aukce na celkem 5 kmitočtových bloků, každý o velikosti 40 MHz, měla zač...

Více 0 komentářů

Čínská firma chce vyvinout dron, který unese přes tunu nákladu

ČTK , 24. květen 2017 08:00

Jeden z největších čínských internetových prodejců JD.com oznámil, že se chystá vyvinout bezpilotní ...

Více 0 komentářů

it-sa 2017 poprvé ve dvou halách

ITBiz.cz , 23. květen 2017 17:00

Veletrh zabezpečení IT s největším počtem vystavovatelů v Evropě dál roste. Pět měsíců před konáním ...

Více 0 komentářů