Кража сертификатов у DigiNotar подрывает доверие к всемирной сети

В последние несколько дней интернет-сообщество активно обсуждает случай подделки сертификатов голландского центра DigiNotar и последовавшую кражу большого количества учетных данных. Эта история получила широкий резонанс: она имеет огромное значение как для рядовых пользователей Интернета, так и для госорганов. Не будет преувеличением сказать, что она способна подорвать доверие к основам всемирной сети.



Что же произошло?

DigiNotar – это центр сертификации. Это значит, что данная организация вправе выдавать веб-сайтам сертификаты, которые обеспечивают безопасную передачу зашифрованных данных. Проще говоря, сертификаты позволяют организациям и пользователям подтверждать, что они те, за кого себя выдают. Это своего рода цифровые паспорта. Когда вы заходите на какой-либо сайт (например, на сайт банка или поставщика услуг электронной почты), происходит обмен сертификатами. Только после этого начинается передача данных. В вашем браузере есть список «корневых центров», сертификатам которых можно доверять. Если веб-сайт предоставляет действующий сертификат, то браузер доверяет ему. В таком случае начинается передача зашифрованных данных. Если сертификат принимается, все это происходит незаметно для конечного пользователя, то есть для вас. Центр сертификации Diginotar подвергся сетевой атаке и взлому, в результате чего было выпущено большое количество поддельных сертификатов. Стоит учесть, что этот список со временем может увеличиться.

Что такое действующий сертификат?

Действующим называется сертификат, который получен для того сайта, на котором он используется, не истек и, главное, выдан доверенной организацией. Именно последнее условие сложнее всего соблюсти тем, кто преследует преступные цели.
И что все это значит?

Если бы я мог поставить «посредника», например прокси-сервер, между вами и вашим банком, то мне было бы очень легко «вклиниться» и получить данные. Ведь «старый добрый» HTTP-трафик не зашифрован. Однако поток данных HTTPS – другое дело. Он зашифрован, и если у меня нет ключей для расшифровки, то я не смогу получить данные, которыми вы обмениваетесь с банком. Но предположим, что у меня есть такой же действующий сертификат, как и у банка. Тогда я могу обойти эту сложность. Мой прокси-сервер «прикинется» вашим банком, а я смогу расшифровать и прочитать все передаваемые данные. И только после этого отправлю их далее. Атаки такого типа получили название man-in-the-middle (MitM).

Кто под угрозой?

Обычно, когда мы выходим в Интернет, мы можем напрямую связаться с банком со своего компьютера. Сеть защищена, нам ничто не угрожает. Но если все мои данные идут через прокси-серверы, принадлежащие интернет-провайдеру или правительству (как в некоторых странах с жесткими законами), тогда я рискую. Владелец этого сервера может воспользоваться фальшивыми сертификатами и стать тем самым посредником. Кроме того, риску подвергаются пользователи общедоступных сетей, таких как открытые точки доступа wi-fi. Владельцы точек доступа также нередко пользуются прокси-серверами. В обычном случае зашифрованные данные просто передаются дальше, но если у владельца есть поддельный сертификат и дурные наклонности, то он может перехватить данные.

Кроме того, злоумышленник может заразить систему вредоносными программами, которые настроят ваш компьютер так, чтобы все данные шли через указанный прокси-сервер. Причем неважно, где вы живете. Для этого мне нужно только установить в вашу систему специальную программу. Как минимум один из фальшивых сертификатов позволяет подделывать «цифровую подпись программы». Эта подпись удостоверяет, что программа выпущена доверенной компанией. Поэтому в теории существует возможность установить на ваш компьютер что угодно.

Специалисты Trend Micro обнаружили доказательства того, что фальшивые сертификаты, выпущенные в результате взлома системы безопасности компании Diginotar, подозрительно несоразмерно сказались на пользователях в Иране. В Иране весь интернет-трафик проходит через одобренные государством прокси-серверы – что является идеальной схемой для атак MitM. При таком раскладе «преимущества» от владения фальшивыми сертификатами очевидны. Весь зашифрованный трафик, поступающий на взломанные адреса, при желании может быть расшифрован, и конечный пользователь об этом никогда не узнает. Стало известно, что среди обнаруженных фальшивых сертификатов некоторые оканчивались на com и org. Это означает, что весь трафик с любого сайта обоих доменов может быть перехвачен.

Итак, Интернет небезопасен?

Подорвет ли это происшествие доверие к безопасности сети в целом? Разумеется, нет; однако оно определенно высвечивает некоторые проблемные точки. Центры сертификации, задача которых – подтверждать подлинность и надежность интернет-серверов, должны следить за тем, чтобы безопасность их систем и сетей была на высшем уровне. Выражаясь метафорически, они представляют собой вершину «пищевой цепи» в мире Интернета. Системы безопасности должны создаваться с четким пониманием того, что рано или поздно кто-то попытается их взломать. Успешное реагирование на взломы в значительной степени зависит от того, насколько честно и прозрачно работают центры сертификации, ставшие жертвой подобной атаки.

Нельзя медлить с обнародованием данных о взломе. Это позволит максимально быстро аннулировать фальшивые сертификаты, чтобы они не принимались браузерами по всему миру. Только так можно смягчить последствия подобной атаки. К сожалению, в случае с Diginotar проблема вначале была объявлена минимальной, а полный «масштаб бедствия» стал очевиден лишь несколько дней спустя – недопустимо большой срок! Сейчас мы знаем, что был выпущен 531 фальшивый сертификат, включая сертификаты доменов .com и .org. Достаточно сказать, что по сравнению с этим подделка сертификатов WindowsUpdate кажется чем-то малозначительным.

Уже сейчас многие производители браузеров и операционных систем отказали в доверии сертификатам, выпущенным компанией Diginotar. Последствия для нее станут суровыми, если не фатальными.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Слишком данные: Госдума начала менять ФЗ-152

О том, что у кого-то есть дом, квартира или вилла, можно будет узнать только в том случае, если этот «кто-то» согласится сам. Такой порядок предусматривает новая редакция закона «О персональных данных» — поправки накануне были приняты Госдумой в первом чтении.

Среди авторов законопроекта — депутаты-единороссы Александр Хинштейн, Андрей Луговой, Сергей Боярский и сенатор Андрей Клишас.

В новой версии закон фактически засекречивает сведения из Единого государственного реестра недвижимости (ЕГРН). Авторы предлагают раскрывать информацию из ЕГРН третьим лицам только с письменного согласия владельца недвижимости.

Сейчас собственник, который не желает, чтобы данные о квартире были переданы третьим лицам, должен написать отказ в их предоставлении. 

Новые поправки предлагают считать такой запрет автоматическим. Для того чтобы информация о квартире или доме стала доступна, продавец должен написать специальное согласие.

 «В результате банки и потенциальные покупатели смогут получить подтверждение, что продавцу действительно принадлежит продаваемая недвижимость, только если он того пожелает — способов заставить его это сделать не существует», — объясняет «Ъ» глава Национальный совет финансового рынка Андрей Емелин глава НСФР.

НСФР уже направил в Минцифры письмо с предложениями доработать законопроект ко второму чтению. Банки жалуются на избыточную нагрузку, которая свалится на финансовые организации. Если закон примут в таком виде, в Роскомнадзор придется сообщать о каждом трансграничном денежном переводе и письме за границу.

Оператор будет «обязан уведомить уполномоченный орган» о намерении выполнить трансграничную передачу персональных данных, то есть до самой передачи.

Как пояснил «Ъ» глава НСФР Андрей Емелин, это означает, что практически любое действие любого лица, приводящее к трансграничной передаче любых персональных данных, потребует предварительного письменного уведомления Роскомнадзора с указанием восьми видов сведений.

Это коснется любого перевода денег за границу, поскольку получателю передаются персональные данные отправителя.

В письме НСФР отмечается, что эти нормы «в существенной степени ограничивают возможности оказания финансовых услуг (например, расчетные операции, сделки на финансовых рынках) и реализации внутренних контрольных процедур, корпоративного управления и контроля в отношении обществ, находящихся за рубежом, требующих трансграничной передачи персональных данных и т. п.».

Как пояснил источник «Ъ» на банковском рынке, в Роскомнадзор придется сообщать о каждом новом сотруднике банка, участвующем в обработке персональных данных. Более того, в перечень попадает весь персонал сторонних компаний, которых банк привлекает к операциям, например, колл-центры.

Что еще нового: 

  • Законопроект требует от операторов обработки персональных данных незамедлительно сообщать о кибератаках и утечках
  • Операторы обязаны «непрерывно взаимодействовать» с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России
  • В три раза — с 30 до 10 дней — сокращается срок исполнения запросов, связанных с незаконной обработкой персональных данных
  • Вводится обязанность операторов ПДн прекратить дальнейшую обработку персональных данных по требованию владельца в 30-дневный срок

Тема «персональных данных» в повестке Госдумы звучит на этой неделе второй раз. Накануне в окончательном, третьем, чтении был принят проект закона, по которому продавцов товаров и услуг будут штрафовать за незаконный сбор ПДн. Должностным лицам будет грозить штраф от 5 тысяч до 10 тысяч рублей, а юридическим — от 30 тысяч до 50 тысяч рублей.

Закон вступает в силу с 1 сентября 2022 года.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru