Кража сертификатов у DigiNotar подрывает доверие к всемирной сети

Кража сертификатов у DigiNotar подрывает доверие к всемирной сети

В последние несколько дней интернет-сообщество активно обсуждает случай подделки сертификатов голландского центра DigiNotar и последовавшую кражу большого количества учетных данных. Эта история получила широкий резонанс: она имеет огромное значение как для рядовых пользователей Интернета, так и для госорганов. Не будет преувеличением сказать, что она способна подорвать доверие к основам всемирной сети.



Что же произошло?

DigiNotar – это центр сертификации. Это значит, что данная организация вправе выдавать веб-сайтам сертификаты, которые обеспечивают безопасную передачу зашифрованных данных. Проще говоря, сертификаты позволяют организациям и пользователям подтверждать, что они те, за кого себя выдают. Это своего рода цифровые паспорта. Когда вы заходите на какой-либо сайт (например, на сайт банка или поставщика услуг электронной почты), происходит обмен сертификатами. Только после этого начинается передача данных. В вашем браузере есть список «корневых центров», сертификатам которых можно доверять. Если веб-сайт предоставляет действующий сертификат, то браузер доверяет ему. В таком случае начинается передача зашифрованных данных. Если сертификат принимается, все это происходит незаметно для конечного пользователя, то есть для вас. Центр сертификации Diginotar подвергся сетевой атаке и взлому, в результате чего было выпущено большое количество поддельных сертификатов. Стоит учесть, что этот список со временем может увеличиться.

Что такое действующий сертификат?

Действующим называется сертификат, который получен для того сайта, на котором он используется, не истек и, главное, выдан доверенной организацией. Именно последнее условие сложнее всего соблюсти тем, кто преследует преступные цели.
И что все это значит?

Если бы я мог поставить «посредника», например прокси-сервер, между вами и вашим банком, то мне было бы очень легко «вклиниться» и получить данные. Ведь «старый добрый» HTTP-трафик не зашифрован. Однако поток данных HTTPS – другое дело. Он зашифрован, и если у меня нет ключей для расшифровки, то я не смогу получить данные, которыми вы обмениваетесь с банком. Но предположим, что у меня есть такой же действующий сертификат, как и у банка. Тогда я могу обойти эту сложность. Мой прокси-сервер «прикинется» вашим банком, а я смогу расшифровать и прочитать все передаваемые данные. И только после этого отправлю их далее. Атаки такого типа получили название man-in-the-middle (MitM).

Кто под угрозой?

Обычно, когда мы выходим в Интернет, мы можем напрямую связаться с банком со своего компьютера. Сеть защищена, нам ничто не угрожает. Но если все мои данные идут через прокси-серверы, принадлежащие интернет-провайдеру или правительству (как в некоторых странах с жесткими законами), тогда я рискую. Владелец этого сервера может воспользоваться фальшивыми сертификатами и стать тем самым посредником. Кроме того, риску подвергаются пользователи общедоступных сетей, таких как открытые точки доступа wi-fi. Владельцы точек доступа также нередко пользуются прокси-серверами. В обычном случае зашифрованные данные просто передаются дальше, но если у владельца есть поддельный сертификат и дурные наклонности, то он может перехватить данные.

Кроме того, злоумышленник может заразить систему вредоносными программами, которые настроят ваш компьютер так, чтобы все данные шли через указанный прокси-сервер. Причем неважно, где вы живете. Для этого мне нужно только установить в вашу систему специальную программу. Как минимум один из фальшивых сертификатов позволяет подделывать «цифровую подпись программы». Эта подпись удостоверяет, что программа выпущена доверенной компанией. Поэтому в теории существует возможность установить на ваш компьютер что угодно.

Специалисты Trend Micro обнаружили доказательства того, что фальшивые сертификаты, выпущенные в результате взлома системы безопасности компании Diginotar, подозрительно несоразмерно сказались на пользователях в Иране. В Иране весь интернет-трафик проходит через одобренные государством прокси-серверы – что является идеальной схемой для атак MitM. При таком раскладе «преимущества» от владения фальшивыми сертификатами очевидны. Весь зашифрованный трафик, поступающий на взломанные адреса, при желании может быть расшифрован, и конечный пользователь об этом никогда не узнает. Стало известно, что среди обнаруженных фальшивых сертификатов некоторые оканчивались на com и org. Это означает, что весь трафик с любого сайта обоих доменов может быть перехвачен.

Итак, Интернет небезопасен?

Подорвет ли это происшествие доверие к безопасности сети в целом? Разумеется, нет; однако оно определенно высвечивает некоторые проблемные точки. Центры сертификации, задача которых – подтверждать подлинность и надежность интернет-серверов, должны следить за тем, чтобы безопасность их систем и сетей была на высшем уровне. Выражаясь метафорически, они представляют собой вершину «пищевой цепи» в мире Интернета. Системы безопасности должны создаваться с четким пониманием того, что рано или поздно кто-то попытается их взломать. Успешное реагирование на взломы в значительной степени зависит от того, насколько честно и прозрачно работают центры сертификации, ставшие жертвой подобной атаки.

Нельзя медлить с обнародованием данных о взломе. Это позволит максимально быстро аннулировать фальшивые сертификаты, чтобы они не принимались браузерами по всему миру. Только так можно смягчить последствия подобной атаки. К сожалению, в случае с Diginotar проблема вначале была объявлена минимальной, а полный «масштаб бедствия» стал очевиден лишь несколько дней спустя – недопустимо большой срок! Сейчас мы знаем, что был выпущен 531 фальшивый сертификат, включая сертификаты доменов .com и .org. Достаточно сказать, что по сравнению с этим подделка сертификатов WindowsUpdate кажется чем-то малозначительным.

Уже сейчас многие производители браузеров и операционных систем отказали в доверии сертификатам, выпущенным компанией Diginotar. Последствия для нее станут суровыми, если не фатальными.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ГК Солар запустила Solar DNS Radar для защиты от атак через DNS

Группа компаний «Солар» объявила о запуске сервиса Solar DNS Radar, который анализирует исходящий трафик и блокирует подключения к фишинговым доменам и серверам управления хакеров. По сути, это позволяет останавливать кибератаки ещё на раннем этапе — до того, как они успеют нанести ущерб.

По данным центра Solar 4RAYS, около 89% атак проходит именно через DNS-протокол — ту самую систему, которая сопоставляет адрес сайта с IP-адресом сервера.

Злоумышленники используют эту особенность, чтобы перенаправлять пользователей на поддельные сайты или поддерживать связь с вредоносами внутри инфраструктуры.

Solar DNS Radar в реальном времени фильтрует DNS-запросы, выявляет подозрительную активность и блокирует соединения с фишинговыми ресурсами, серверами управления (C2), доменами сгенерированными алгоритмами (DGA) и другими источниками, связанными с APT-группами. Кроме того, сервис можно использовать для ограничения доступа сотрудников к нежелательным сайтам.

В работе решения используются несколько подходов:

  • блокировка доступа к недавно зарегистрированным доменам (Zero Trust),
  • данные о киберугрозах из сервиса Solar TI Feeds,
  • аналитика сенсоров «Ростелекома» и телеметрия сервисов Solar JSOC,
  • результаты расследований Solar 4RAYS,
  • алгоритмы ИИ для точного распознавания атак и снижения ложных срабатываний.

Сервис доступен в трёх вариантах: как облачное решение (SaaS), как управляемый сервис с настройкой от специалистов «Солара» (MSS) или как локальная установка (on-prem) на стороне заказчика.

По словам разработчиков, Solar DNS Radar может быть полезен и небольшим компаниям, которые только начинают выстраивать процессы безопасности, и крупным организациям, которым важно разгрузить SOC и быстро закрыть «серые зоны» в инфраструктуре.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru