Σάββατο, 16 Δεκέμβριος 2017, 3:17 πμ

Ψηφιακά πιστοποιητικά: ποιον να εμπιστευτούμε;

ψηφιακά πιστοποιητικά

Τα ψηφιακά πιστοποιητικά (digital certificates) είναι η ραχοκοκαλιά  της Υποδομής Δημοσίου Κλειδιού (Public Key Infrastructure – PKI), και κατ’ επέκταση η βάση της online εμπιστοσύνης. Τα ψηφιακά πιστοποιητικά συχνά συγχέονται με τις ψηφιακές υπογραφές: μπορούμε να εμπιστευθούμε ένα έγγραφο γιατί φέρει υπογραφή, ή πιστοποίηση από μια Αρχή Πιστοποίησης (certificate authority – CA) που εμπιστευόμαστε. Με απλά λόγια, τα ψηφιακά πιστοποιητικά είναι μια μικρογραφία ενός φαινομένου που συμβαίνει στον πραγματικό κόσμο.

Στις ειδήσεις πρόσφατα ακούσαμε και διαβάσαμε για περιστατικά που σχετίζονται με ψηφιακά πιστοποιητικά. Βέβαια, τέτοια περιστατικά συνήθως δεν απασχολούν τους τελικούς χρήστες. Ωστόσο, οι IT managers, οι software developers και γενικότερα οι επαγγελματίες ασφάλειας οφείλουν να γνωρίζουν σε βάθος τα προβλήματα αυτά, ώστε να είναι σε θέση να αντιμετωπίσουν τέτοιου είδους περιστατικά.

Τι ή ποιον μπορούμε να εμπιστευτούμε online;

Κάθε υπολογιστής που συνδέεται στο Διαδίκτυο περιέχει μια λίστα από «trusted root Certificate Authorities» (στα ελληνικά μπορεί να αποδοθεί ως «αρχικές έμπιστες Αρχές Πιστοποίησης»). Οι Αρχές αυτές εκδίδουν πιστοποιητικά, που μπορούν να χρησιμοποιηθούν είτε για την υπογραφή πιστοποιητικών για άλλες Αρχές Πιστοποίησης, είτε στους servers. Πρέπει να υπάρχει μια «αλυσίδα εμπιστοσύνης» από οποιοδήποτε πιστοποιητικό εντοπίζει το σύστημα προς οποιοδήποτε από τα root πιστοποιητικά που εμπιστεύεται.

Τι σημαίνει «έμπιστη»;

Αν μια ασφαλής σύνδεση ή ένα υπογεγραμμένο (ψηφιακά) αρχείο είναι έμπιστη/ο, αυτό γενικά ισοδυναμεί με απουσία προειδοποιήσεων. Τα ψηφιακά πιστοποιητικά χρησιμοποιούνται:

  • για την ασφάλεια των ιστοσελίδων που χρησιμοποιούν SSL / TLS,
  • για την αναγνώριση και επικύρωση των εκτελέσιμων αρχείων που χρησιμοποιούν υπογραφή κώδικα και
  • για την ασφάλεια των μηνυμάτων ηλεκτρονικού ταχυδρομείου μέσω Secure / Multipurpose Internet Mail Extensions (S/MIME).

Όταν ένας browser προσπελάσει έναν HTTPS server με ένα μη έμπιστο πιστοποιητικό server, τότε θα εμφανιστεί σχετική προειδοποίηση. Αν ένα μη υπογεγραμμένο ή μη έμπιστο εκτελέσιμο αρχείο εκτελεστεί, τότε μπορεί να εμφανιστεί – και σε αυτή την περίπτωση – προειδοποιητικό μήνυμα. Ο χρήστης βλέποντας αυτές τις προειδοποιήσεις μπορεί να περιηγηθεί στο Διαδίκτυο με μεγαλύτερη ασφάλεια, αποφεύγοντας τυχόν επικίνδυνη – για τα δεδομένα του και τα συστήματά του – συμπεριφορά.

Το πρωτόκολλο HTTPS χρησιμοποιείται ευρύτατα και αποτελεί μια εγγύηση για την αυθεντικότητα των συνδέσεων των χρηστών στις διάφορες ιστοσελίδες. Το πράσινο χρώμα με το λουκέτο στη γραμμή διεύθυνσης του browser υποδηλώνει ότι η σύνδεση του επισκέπτη είναι ασφαλής (κρυπτογραφημένη).

Η εμπιστοσύνη βασίζεται σε δύο πράγματα:

  • Οι Αρχές Πιστοποίησης δε χορηγούν πιστοποιητικά σε ακατάλληλους χρήστες
  • Οι χρήστες (π.χ. υπολογιστές, browsers ή φορητές συσκευές) δεν πρέπει να προσθέτουν ακατάλληλες Αρχές Πιστοποίησης στις προκαθορισμένες λίστες των έμπιστων Αρχών Πιστοποίησης.

Δυστυχώς, η βάση της εμπιστοσύνης αυτής κινδυνεύει. Θεσμοί και οργανισμοί που δεν χαρακτηρίζονται απαραίτητα ως «έμπιστοι», μπορεί από κάποιους να θεωρούνται ότι είναι.

Ακολουθούν ορισμένα χαρακτηριστικά παραδείγματα, μέσω των οποίων φαίνεται ότι το σύστημα των Αρχών Πιστοποίησης δε μπορεί – πλέον – να βασίζεται στην εμπιστοσύνη.

Η εμπιστοσύνη έχει χαθεί: Αρχές Πιστοποίησης χορηγούν πιστοποιητικά σε χρήστες που δε θα έπρεπε να πιστοποιηθούν.

Οι Αρχές Πιστοποίησης πρέπει να εφαρμόζουν συγκεκριμένα βήματα κατά τη διαδικασία ασφάλειας των δικών τους συστημάτων, ώστε να αποφεύγεται η χορήγηση πιστοποιητικών όπου υπάρχει πρόβλημα. Έχουν υπάρξει, όμως, περιστατικά όπου η δική τους ασφάλεια και η διαδικασίες τους γίνονται στόχος κακόβουλων χρηστών.

Το 2011, ένας επιτιθέμενος, με το ψευδώνυμο ComodoHacker, κατάφερε να διεισδύσει στα συστήματα της Diginotar, μιας ολλανδικής Αρχής Πιστοποίησης. Ο ComodoHacker πέτυχε να εκδώσει πολλαπλά απατηλά πιστοποιητικά. Η προβληματική ασφάλειά της αποτέλεσε αφορμή για να αφαιρεθεί η Diginotar από τις λίστες των έμπιστων Αρχών Πιστοποίησης σχεδόν όλων των εταιρειών που εμπορεύονταν λογισμικό. Αναμενόμενο ήταν, φυσικά, η Diginotar να βάλει λουκέτο.

Μπορεί η Diginotar να είχε σχετικά μικρό μερίδιο στην «αγορά» των Αρχών Πιστοποίησης, ο επιτιθέμενος, όμως, ανακοίνωσε – τότε – ότι είχε αποκτήσει πρόσβαση και στο δίκτυο της Comodo, μιας πολύ μεγαλύτερης Αρχής Πιστοποίησης.

Υπάρχουν, βέβαια, και πιο πρόσφατα περιστατικά. Το Μάρτιο του 2015, η Comodo χορήγησε πιστοποιητικό για το domain live.fi σε μια μη εξουσιοδοτημένη οντότητα. Επρόκειτο για το φινλανδικό domain του live.com και των υπηρεσιών που φιλοξενούνται σε αυτό – μέρος της Microsoft. Τι ακριβώς συνέβη;

Η Comodo χορήγησε στη Microsoft πιστοποιητικά Domain Validation. Αυτού του είδους οι Αρχές Πιστοποίησης ζητούν από τον ιδιοκτήτη του ιστοτόπου να επιβεβαιώσει ότι έχει τον έλεγχο του domain για το οποίο ζητάει πιστοποίηση. Η πιο συχνή μέθοδος είναι η αποστολή ενός μηνύματος ηλεκτρονικού ταχυδρομείου από το domain αυτό, με μια από τις ακόλουθες – συνηθισμένες – διευθύνσεις:

Το domain live.fi χρησιμοποιείται από τη Microsoft και παρέχει στους χρήστες δωρεάν υπηρεσίες ηλεκτρονικού ταχυδρομείου. Ένας Φιλανδός διαπίστωσε ότι η διεύθυνση [email protected] ήταν διαθέσιμη. Έτσι, δημιούργησε και ιδιοποιήθηκε τη διεύθυνση αυτή, ζητώντας να αποκτήσει πιστοποιητικά για το live.fi, τα οποία θα ήταν έμπιστα για οποιοδήποτε browser, χωρίς όμως να ελέγχονται από τη Microsoft. Κατά την εξέτασή του από τις αρμόδιες αστυνομικές Αρχές, ο Φιλανδός δήλωσε ότι είχε αναφέρει το σχετικό πρόβλημα τον Ιανουάριο του 2015 και στη Microsoft αλλά και στην αστυνομία.

Το πιστοποιητικό θα μπορούσε να έχει χρησιμοποιηθεί για να πραγματοποιηθούν επιθέσεις τύπου «man-in-the-middle», καθώς θα ήταν επικυρωμένο από οποιοδήποτε browser. Έτσι, θα μπορούσαν να έχουν εξαπατηθεί πολλοί χρήστες και να «χάσουν» τους κωδικούς πρόσβασής τους σε διάφορες υπηρεσίες. Η Comodo ακύρωσε το πιστοποιητικό, ενώ η Microsoft προχώρησε σε σχετικό update για τα Windows.

Μόνο ένα ψεύτικο πιστοποιητικό δημιουργήθηκε και δε μπορούσε να χρησιμοποιηθεί για άλλους σκοπούς. Οι επιτρεπόμενες χρήσεις ορίζονται στην περιγραφή του πιστοποιητικού (Extended Key Usage). Τα πιστοποιητικά για τους SSL servers μπορούν να χρησιμοποιηθούν μόνο για την επαλήθευση των server. Αντίστοιχα και τα πιστοποιητικά που αφορούν κώδικα.

Αργότερα μέσα στο μήνα, πρόβλημα αντιμετώπισε και η Google. Ανακαλύφθηκε ότι ένας αιγυπτιακός ISP (MCS Holdings) διέθετε ένα ψηφιακό πιστοποιητικό που μπορούσε να χρησιμοποιηθεί για επιθέσεις τύπου «man-in-the-middle» μέσω ενός proxy. Γενικά, οι proxies απαιτούν να υπάρχει εγκατεστημένο ένα πιστοποιητικό στις συσκευές, ώστε να είναι αόρατοι. Ωστόσο, στη συγκεκριμένη περίπτωση, το πιστοποιητικό της MCS Holdings έφερε υπογραφή από το China Internet Network Information Center (CNNIC), που συμπεριλαμβανόταν στη λίστα των αρχικά έμπιστων Certification Authorities. Αυτό πρακτικά σημαίνει ότι οποιαδήποτε πιστοποιητικά έχουν χορηγηθεί μέσω αυτών της MCS Holdings θα αναγνωρίζονται από τα συστήματα ως έγκυρα, ακόμα κι αν τα τελευταία δεν είχαν σχετική εξουσιοδότηση να τα χορηγήσουν (π.χ. για domains που δεν βρίσκονται στην κατοχή της).

Όπως και στην περίπτωση της Diginotar, το περιστατικό προκάλεσε επιπλέον προβλήματα στην Αρχή Πιστοποίησης. Το πιστοποιητικό της MCS Holdings μπήκε στη «μαύρη λίστα» των Google, Microsoft και Mozilla, ενώ προβλήματα αντιμετωπίζει και η CNNIC.

Google και Mozilla ανακοίνωσαν ότι τα πιστοποιητικά που θα εκδίδονται από εδώ και στο εξής από το CNNIC δε θα θεωρούνται έμπιστα. Όσα έχουν εκδοθεί μέχρι τώρα –στα οποία βασίζονται πολλοί οργανισμοί – συνεχίζουν να γίνονται αποδεκτά, όμως μετά τη λήξη τους, οι οργανισμοί θα χρειαστούν νέα πιστοποιητικά, φυσικά από νέα Αρχή Πιστοποίησης.

Οι περιπτώσεις αυτές αναδεικνύουν τον κίνδυνο του μοντέλου των Αρχών Πιστοποίησης: αν μετά από επιθέσεις προς τις Αρχές Πιστοποίησης τα πιστοποιητικά πέσουν σε λάθος χέρια, τότε τα δεδομένα χρηστών θα βρεθούν εκτεθειμένα. Τα πράγματα, όμως, είναι εξίσου δύσκολα και για τις Αρχές Πιστοποίησης, καθώς μια αλλαγή στον τρόπο έκδοσης – χορήγησης των πιστοποιητικών θα μπορούσε να θέσει υπό αμφισβήτηση τα μέχρι εκείνο το στάδιο εκδοθέντα, με περαιτέρω συνέπειες για τη βιωσιμότητα των Αρχών (επιχειρήσεων).

Ακατάλληλες Αρχές Πιστοποίησης σε λίστες με έμπιστες Αρχές Πιστοποίησης

Η πιο πρόσφατη περίπτωση όπου μια Αρχή Πιστοποίησης προστέθηκε στις λίστες των συστημάτων των χρηστών αποτέλεσε το Superfish (προεγκατεστημένου adware σε συσκευές Lenovo, μέσω του οποίου ήταν εφικτή η παρακολούθηση των συνδέσεων HTTPS). Λόγω του τρόπου με τον οποίο είχε εφαρμοστεί, οποιοσδήποτε μπορούσε να χορηγήσει οποιαδήποτε πιστοποιητικά.

Πρακτικά, ένας κακόβουλος χρήστης, θα μπορούσε να πραγματοποιήσει επιθέσεις phishing, όπου μια κακόβουλη ιστοσελίδα θα φαίνεται ασφαλής, να παρέμβει στις επικοινωνίες μέσω επιθέσεων «man-in-the-middle», να «υπογράψει» ψηφιακά malware που θα έτρεχαν οι χρήστες – και που θα θεωρούσαν ότι ήταν ασφαλές.

Είναι δύσκολο – έως αδύνατο – να χρησιμοποιήσουμε το Διαδίκτυο αν δεν υπάρχει εμπιστοσύνη. Αν δεν είμαστε σίγουροι ότι οι επισκέψεις μας στο Gmail, στο Facebook, στο Twitter ή στο online banking είναι ασφαλείς, τότε έχουμε σοβαρότατο πρόβλημα. Αν δεν είμαστε σίγουροι για την εγκυρότητα του προγράμματος που «τρέχουμε», τότε κινδυνεύουμε ακόμα κι αν – φαίνεται ότι – ανοίγουμε το Σημειωματάριο.

Τι πρέπει να κάνουν οι χρήστες και οι Αρχές Πιστοποίησης;

Οι Αρχές Πιστοποίησης οφείλουν να εγγυηθούν ότι τα συστήματά τους είναι ασφαλή και να ελαχιστοποιήσουν την πιθανότητα έκδοσης – χορήγησης ενός απατηλού (ψεύτικου) πιστοποιητικού. Προσοχή χρειάζεται και κατά τη χορήγηση πιστοποιητικών σε ευρέως γνωστά και δημοφιλή domain, καθώς αν τέτοια πιστοποιητικά γίνουν δημόσια, τότε θα υπάρχουν σοβαρά περαιτέρω προβλήματα. Ένα σύστημα που βασίζεται σε έμπιστες Αρχές Πιστοποίησης λειτουργεί σωστά όταν και οι τελευταίες είναι πράγματι «έμπιστες».

Οι Αρχές Πιστοποίησης θα πρέπει να εξετάσουν διαφορετικούς τρόπους επικοινωνίας κατά την ανταπόκριση σε αιτήματα χορήγησης πιστοποιητικών: οι κυβερνοεγκληματίες κατά κανόνα αποφεύγουν τις κατ’ ιδίαν συναντήσεις ή τηλεφωνικές επικοινωνίες. Επίσης, δε βλάπτει σε καμία περίπτωση ένας αυστηρότερος έλεγχος, όταν πρόκειται να χορηγηθεί πιστοποιητικό με «αυξημένες» δυνατότητες.

Οι ιδιοκτήτες ιστοσελίδων που επιθυμούν να διασφαλίσουν ότι δε θα χορηγηθούν πιστοποιητικά στο όνομά τους, θα πρέπει να προχωρήσουν σε κατοχύρωση διευθύνσεων email που συνήθως χρησιμοποιούνται για πιστοποίηση ιστοσελίδων. Με αυτό τον τρόπο οι διευθύνσεις αυτές θα είναι υπό τον έλεγχό τους. Εναλλακτικά, οι διευθύνσεις αυτές θα πρέπει να μην είναι διαθέσιμες για κατοχύρωση.

Το τρέχον σύστημα των Αρχών Πιστοποίησης δεν είναι τέλειο και βασίζεται σε μια αμοιβαία εμπιστοσύνη και ειλικρίνεια μεταξύ χρηστών και Αρχών Πιστοποίησης. Επιπλέον δικλείδες ασφαλείας που μπορούν να εφαρμοσθούν είναι αυτές που σχετίζονται με τη βελτίωση της ασφάλειας των SSL πιστοποιητικών. Όλο και περισσότερες ιστοσελίδες χρησιμοποιούν μόνο HTTPS πρωτόκολλο, συνεπώς στα επόμενα χρόνια όλα αυτά θα τα βρούμε μπροστά μας.

Μείνετε συντονισμένοι στο cybersecurity.gr για περισσότερες συμβουλές και ενημερώσεις σχετικά με κρίσιμα θέματα ψηφιακής ασφάλειας!

Τα ψηφιακά πιστοποιητικά (digital certificates) είναι η ραχοκοκαλιά  της Υποδομής Δημοσίου Κλειδιού (Public Key Infrastructure – PKI), και κατ’ επέκταση η βάση της online εμπιστοσύνης. Τα ψηφιακά πιστοποιητικά συχνά συγχέονται με τις ψηφιακές υπογραφές: μπορούμε να εμπιστευθούμε ένα έγγραφο γιατί φέρει υπογραφή, ή πιστοποίηση από μια Αρχή Πιστοποίησης (certificate authority…
Χρήσιμο
Ευανάγνωστο

User Rating: 4.45 ( 2 votes)
100

Δείτε επίσης:

Ο μηχανισμός ενημέρωσης του Drupal, του δημοφιλούς συστήματος διαχείρισης περιεχομένου (CMS), παρουσιάζει προβλήματα ασφαλείας και μάλιστα κακόβουλοι χρήστες θα μπορούσαν να ξεγελάσουν διαχειριστές ιστοσελίδων ώστε να εγκαταστήσουν κακόβουλες ενημερώσεις.

Ιστότοποι Drupal: κίνδυνος λόγω προβληματικού μηχανισμού ενημερώσεων

Ο μηχανισμός ενημέρωσης του Drupal, του δημοφιλούς συστήματος διαχείρισης περιεχομένου (CMS), παρουσιάζει προβλήματα ασφαλείας και …