Certificate SSL false
Cercetătorii au descoperit zeci de certificate de securitate false folosite în autentificarea utlizatorilor către site-urile de e-banking, e-commerce și rețele de socializare. Google, Facebook, iTunes și chiar un server POP de e-mail aparținând companiei GoDaddy sunt doar câteva exemple de servicii afectate de utilizarea credențialelor frauduloase, care în anumite cazuri pot permite atacatorilor să citească și să modifice traficul criptat dintre end user și serverul protejat.
Certificatele semnate digital de tip SSL (Secure Sockets Layer) nu reprezintă o veritabilă amenințare pentru cei ce utilizează browsere Webdin categoria celor populare pentru a vizita site-uri web false, deoarece credențialele nu sunt semnate digital de o autoritate certificată, au scris cercetătorii din cadrul companiei Netcraft în blog post-ul de miercuri. Aceștia au continuat însă prin a afirma ca utilizatorii de aplicații pentru smartphone sau alte software-uri de tip non-browser ce accesează site-uri web susceptibile din punct de vedere al securității nu sunt la fel de norocoși.
În aceeași postare, specialiștii de la Netcraft au menționat mai multe rapoarte de securitate realizate în ultimii ani care detaliau vulnerabilități grave din software-uri populare ce făceau posibile decriptarea traficului criptat dintre clientul și serverul web și în unele cazuri, chiar imitarea unui server autentificat criptografic. De exemplu, un studiu academic din 2012 dezvăluie o serie de vulnerabilități critice ale aplicațiilor instalate și rulate pe computere și/sau smartphone-uri, ce nu reușeau să verifice validitatea certificatelor SSL. Un alt studiu a descoperit că aplicațiile pentru sistemul de operare Android prezente pe nu mai puțin de 185 de milioane de dispozitive expuneau credențialele de e-banking și/sau rețele de socializare, precum și conținutul de pe conturile de e-mail, respectiv instant-messagingdeoarece acestea utlizau protecții inadecvate de criptare. Mai mult decât atât, un raport mult mai recent al companiei IOActive prezintă vulnerabilități similare prezente și în aplicațiile scrise pentru platforma iOS Apple.
”Aplicațiile de tip online banking pentru terminale mobile reprezintă ținte tentante pentru atacurile de tipul man-in-the-middle, din moment ce validarea certificatelor este departe de a fi trivială, iar aplicațiile mobile deseori nu sunt la fel de eciciente precum browser-ele web in ceea ce priveste validarea standard a certificatelor semnate digital.”, au scris specialiștii de la Netcraft. De asemenea, aceștia au mai precizat că ”un procentaj de 40% din aplicațiile de online banking iOS-based testate de IOActive sunt vulnerabile la acest tip de atac pentru că acestea nu validează autenticitatea certificatelor SSL oferite de către server. 41% din aplicațiile Android-based testate au fost găsite vulnerabile de către Universitatea Leibniz din Hannover și Universitatea Philipps din Marburg, Germania. ”
Multe din certificatele SSL false descoperite de specialiștii de la Netcraft au fost create cu intenții malițioase. Spre exemplu, un certificatwildcard pentru *.google.com oferă indicii cu privire la tentativa unui atac de tip spoofing asupra unei varietăți de servicii oferite de Google. Certificatul fals a fost furnizat de o mașină din România ce găzduia și alte domenii .ro și .com. Acesta prezenta credențiale ce pretindeau a fi emise de către America Online Root Certification Authority 42, un nume foarte apropiat de cel al unei autorități legitime ce semnează certificate SSL (America Online). Alte certificate false care au fost identificate, erau utlizate pentru Facebook, iTunes și un serviciu pentru tranzacții bancare către o bancă din Rusia.
”În acest caz, oportunitățile ar putea fi de natură criminală (capturarea credențialelor, resetarea parolelor, furtul de date sensibile) sau chiar folosite în spionajul interstatal, deși sunt șanse scăzute ca un asemenea certificat să fie oferit via un site web.”, precizează Netcraft. ”Chiar dacă actualele intenții sunt necunoscute, putem puncta faptul că unii utilizatori de e-mail acceptă ca erorile în ceea ce privește validitatea certificatelor să fie ignorate fie temporar, fie permanent, iar alții sunt obișnuiți să revoce astfel de avertizări.”
Impact
Atacurile de tip man-in-the-middle reprezintă în cazul de față un atac prin care o parte terță nelegitimă interceptează o conexiune SSL dintre aplicația client și serverul web fără ca părțile legitime să constate modificările aduse datelor de la unul la celălalt.
Atacurile de succes se pot concretiza în decriptarea traficului de e-banking înainte de re-criptarea acestuia și transmiterea sa către banca în speță. Astfel, cele două părți, respectiv clientul și banca, vor fi în necunoștință de cauză ca atacatorul este posibil să fie deja în posesia credențialelor lor, sau să fi manipulat suma sau conținutul unei tranzacții bancare. Aceleași efecte sunt valabile și pentru e-mail, e-commerce sau rețele de socializare.
Remediere
Din fericire, cele mai multe din aplicațiile populare – precum Twitter, Facebook, Google, și altele – folosesc o tehnică denumită certificate pinning care respinge automat conexiunile de la site-uri ce oferă certificate SSL false. De asemenea, așa cum a mai fost menționat, browser-ele majore vor avertiza utilizatorii ce accesează astfel de site-uri. Dar, dat fiind numărul mare de clienți de e-mail, aplicații pentru smartphone și alte alte aplicații non-browser disponibile, sunt șanse destul de ridicate ca unii dintre dintre noi să fim victimele unui astfel de atac chiar în acest moment. Este foarte indicat să verificăm sursa oricărei aplicații care se conectează la un server protejat SSL înainte de a o instala și să nu accesăm ferestrele de tip pop-up care ne avertizează că certificatele nu sunt semnate de o autoritate legitimă.
