Кража сертификатов у DigiNotar подрывает доверие к всемирной сети

Кража сертификатов у DigiNotar подрывает доверие к всемирной сети

В последние несколько дней интернет-сообщество активно обсуждает случай подделки сертификатов голландского центра DigiNotar и последовавшую кражу большого количества учетных данных. Эта история получила широкий резонанс: она имеет огромное значение как для рядовых пользователей Интернета, так и для госорганов. Не будет преувеличением сказать, что она способна подорвать доверие к основам всемирной сети.



Что же произошло?

DigiNotar – это центр сертификации. Это значит, что данная организация вправе выдавать веб-сайтам сертификаты, которые обеспечивают безопасную передачу зашифрованных данных. Проще говоря, сертификаты позволяют организациям и пользователям подтверждать, что они те, за кого себя выдают. Это своего рода цифровые паспорта. Когда вы заходите на какой-либо сайт (например, на сайт банка или поставщика услуг электронной почты), происходит обмен сертификатами. Только после этого начинается передача данных. В вашем браузере есть список «корневых центров», сертификатам которых можно доверять. Если веб-сайт предоставляет действующий сертификат, то браузер доверяет ему. В таком случае начинается передача зашифрованных данных. Если сертификат принимается, все это происходит незаметно для конечного пользователя, то есть для вас. Центр сертификации Diginotar подвергся сетевой атаке и взлому, в результате чего было выпущено большое количество поддельных сертификатов. Стоит учесть, что этот список со временем может увеличиться.

Что такое действующий сертификат?

Действующим называется сертификат, который получен для того сайта, на котором он используется, не истек и, главное, выдан доверенной организацией. Именно последнее условие сложнее всего соблюсти тем, кто преследует преступные цели.
И что все это значит?

Если бы я мог поставить «посредника», например прокси-сервер, между вами и вашим банком, то мне было бы очень легко «вклиниться» и получить данные. Ведь «старый добрый» HTTP-трафик не зашифрован. Однако поток данных HTTPS – другое дело. Он зашифрован, и если у меня нет ключей для расшифровки, то я не смогу получить данные, которыми вы обмениваетесь с банком. Но предположим, что у меня есть такой же действующий сертификат, как и у банка. Тогда я могу обойти эту сложность. Мой прокси-сервер «прикинется» вашим банком, а я смогу расшифровать и прочитать все передаваемые данные. И только после этого отправлю их далее. Атаки такого типа получили название man-in-the-middle (MitM).

Кто под угрозой?

Обычно, когда мы выходим в Интернет, мы можем напрямую связаться с банком со своего компьютера. Сеть защищена, нам ничто не угрожает. Но если все мои данные идут через прокси-серверы, принадлежащие интернет-провайдеру или правительству (как в некоторых странах с жесткими законами), тогда я рискую. Владелец этого сервера может воспользоваться фальшивыми сертификатами и стать тем самым посредником. Кроме того, риску подвергаются пользователи общедоступных сетей, таких как открытые точки доступа wi-fi. Владельцы точек доступа также нередко пользуются прокси-серверами. В обычном случае зашифрованные данные просто передаются дальше, но если у владельца есть поддельный сертификат и дурные наклонности, то он может перехватить данные.

Кроме того, злоумышленник может заразить систему вредоносными программами, которые настроят ваш компьютер так, чтобы все данные шли через указанный прокси-сервер. Причем неважно, где вы живете. Для этого мне нужно только установить в вашу систему специальную программу. Как минимум один из фальшивых сертификатов позволяет подделывать «цифровую подпись программы». Эта подпись удостоверяет, что программа выпущена доверенной компанией. Поэтому в теории существует возможность установить на ваш компьютер что угодно.

Специалисты Trend Micro обнаружили доказательства того, что фальшивые сертификаты, выпущенные в результате взлома системы безопасности компании Diginotar, подозрительно несоразмерно сказались на пользователях в Иране. В Иране весь интернет-трафик проходит через одобренные государством прокси-серверы – что является идеальной схемой для атак MitM. При таком раскладе «преимущества» от владения фальшивыми сертификатами очевидны. Весь зашифрованный трафик, поступающий на взломанные адреса, при желании может быть расшифрован, и конечный пользователь об этом никогда не узнает. Стало известно, что среди обнаруженных фальшивых сертификатов некоторые оканчивались на com и org. Это означает, что весь трафик с любого сайта обоих доменов может быть перехвачен.

Итак, Интернет небезопасен?

Подорвет ли это происшествие доверие к безопасности сети в целом? Разумеется, нет; однако оно определенно высвечивает некоторые проблемные точки. Центры сертификации, задача которых – подтверждать подлинность и надежность интернет-серверов, должны следить за тем, чтобы безопасность их систем и сетей была на высшем уровне. Выражаясь метафорически, они представляют собой вершину «пищевой цепи» в мире Интернета. Системы безопасности должны создаваться с четким пониманием того, что рано или поздно кто-то попытается их взломать. Успешное реагирование на взломы в значительной степени зависит от того, насколько честно и прозрачно работают центры сертификации, ставшие жертвой подобной атаки.

Нельзя медлить с обнародованием данных о взломе. Это позволит максимально быстро аннулировать фальшивые сертификаты, чтобы они не принимались браузерами по всему миру. Только так можно смягчить последствия подобной атаки. К сожалению, в случае с Diginotar проблема вначале была объявлена минимальной, а полный «масштаб бедствия» стал очевиден лишь несколько дней спустя – недопустимо большой срок! Сейчас мы знаем, что был выпущен 531 фальшивый сертификат, включая сертификаты доменов .com и .org. Достаточно сказать, что по сравнению с этим подделка сертификатов WindowsUpdate кажется чем-то малозначительным.

Уже сейчас многие производители браузеров и операционных систем отказали в доверии сертификатам, выпущенным компанией Diginotar. Последствия для нее станут суровыми, если не фатальными.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый ботнет использует утилиту hping3 для проведения DDoS-атак

В интернете объявился новый, активно развиваемый DDoS-зловред. Проведенный в NSFOCUS анализ показал, что новобранец, нареченный hpingbot, написан с нуля на Go и нацелен на платформы Windows и Linux/IoT.

Обнаруженный в прошлом месяце троян (результат VirusTotal на 4 июля — 13/72) также поддерживает множество архитектур CPU, включая amd64, mips, arm и 80386. В настоящее время в состав созданного на его основе ботнета входят немногим более 14,6 тыс. зараженных устройств.

Для своей работы hpingbot использует совсем другие ресурсы, нежели многочисленные производные Mirai и Gafgyt: прячет полезную нагрузку на Pastebin, а DDoS-атаки проводит с помощью hping3 — бесплатного инструмента диагностики сетей, похожего на ICMP ping.

Подобный подход не только повышает шансы зловреда на сокрытие от обнаружения, но также значительно снижает стоимость его разработки и операционные расходы.

Ссылки на Pastebin жестко прописаны в коде hpingbot. Отдаваемый с сайта пейлоад (IP-адреса C2, скрипты для загрузки дополнительных компонентов) часто сменяется.

Из техник DDoS вредоносу подвластен флуд — SYN, TCP, ACK, UDP и многовекторный. Примечательно, что Windows-версия трояна не способна оперировать hping3 из-за ограничений по внешним условиям, она в основном заточена под загрузку и запуск дополнительных модулей.

Из последних был выявлен написанный на Go генератор DDoS-флуда (UDP и TCP), который с 19 июня загружается на ботнет для тестирования. Он связан с теми же C2, но не имеет доступа к Pastebin, не вызывает hping3 и не умеет обновляться.

Распространяется hpingbot через брутфорс SSH, используя специальный модуль. Закрепиться в системе зловреду помогают Systemd, SysVinit и Cron, после выполнения своих задач он удаляет свои файлы и подчищает логи.

Зафиксированные DDoS-атаки с ботнета пока немногочисленны — по всей видимости, операторы пока сосредоточены на наращивании потенциала.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru