Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » MitM un DoS uzbrukumi domēniem ar dubultu sertifikātu izmantošanu

MitM un DoS uzbrukumi domēniem ar dubultu sertifikātu izmantošanu

HTTPS sertifikāti ir viens no interneta drošības pamatelementiem. Bet ar tiem viss nav tik labi, kā vajadzētu būt. Mēs jau stāstījām par to, kāpēc pašreizējā sistēma ne vienmēr garantē drošību lietotājiem. Tagad palūkosimies, kādas nepatikšanas var piedzīvot vietņu īpašnieki.

 

 

Divi derīgi sertifikāti vienam un tam pašam domēnam

Parasti domēnu reģistrēšanu veic un HTTPS sertifikātus izsniedz dažādas organizācijas. Tāpēc domēna reģistrācijas un sertifikāta derīguma termiņi var arī atšķirties. Iespējams, ka gan agrākajam, gan pašreizējam domēna īpašniekam vienlaikus ir derīgi sertifikāti šim domēnam.

Kas tādā gadījumā var noiet greizi un cik bieži šī problēma ir sastopama? Konferencē DEF CON 26 pētnieki Īens Fosters un Dilans Eiri uzstājās ar referātu par šo tēmu. No referāta varam secināt, ka a) patiesībā nepatikšanu ir vairāk, nekā šķiet pirmajā acu uzmetienā, un ka b) problēma ir pārsteidzoši bieži sastopama.

Biežākās nepatikšanas: ja vēl kādam ir derīgs sertifikāts jums piederošam domēnam, tad ir iespējams vidutāja jeb „man-in-the-middle” (MiTM) uzbrukums jūsu vietnes apmeklētājiem.

Izmantojot projekta Certificate Transparency sertifikātu datubāzi, Fosters un Eiri veica analīzi un konstatēja, ka dubulti sertifikāti ir 1,5 miljonos gadījumu — pašlaik tas ir gandrīz 0,5% visa interneta. Turklāt ceturtajā daļā šādu gadījumu agrākais sertifikāts joprojām ir derīgs — tātad 375 000 domēnu nav pasargāti no vidutāja uzbrukumiem.

 

 

Bet tas vēl nav viss. Daudzos gadījumos tiek izņemts viens sertifikāts uzreiz vairākiem domēniem. Turklāt tas var attiekties gan uz desmitiem, gan pat uz simtiem domēnu. Piemēram, Fosters un Eiri ir atraduši sertifikātu, kurš izsniegts uzreiz 700 domēniem, un daži no tiem esot patiešām populāri.

Savukārt citi no šiem 700 domēniem pašlaik ir brīvi, tātad kurš katrs var reģistrēt vienu no tiem un saņemt tam https sertifikātu. Bet vai jaunajam domēna īpašniekam ir tiesības atsaukt agrāko sertifikātu, lai viņa vietne nebūtu pakļauta vidutāja uzbrukuma briesmām?

Vai var atsaukt sertifikātu?

Sertifikātu var atsaukt. Sertifikācijas centru darbības noteikumos ir paredzēta iespēja atsaukt sertifikātu, „ja jebkura informācija sertifikātā vairs nav pareiza vai ir neprecīza”. Turklāt atsaukšana jāveic 24 stundu laikā pēc attiecīgā paziņojuma saņemšanas.

Fosters un Eiri ir izmēģinājuši, kā tas notiek praksē. Izrādās, ka dažādos sertifikācijas centros tas notiek atšķirīgā veidā. Piemēram, centrā „Let’s encrypt” to dara ar automātiskiem rīkiem, kuri ļauj ļoti ātri atsaukt sertifikātu — praktiski tas notiek reāllaikā. Citos sertifikācijas centros ir jāsazinās ar darbiniekiem, tādēļ nākas gaidīt. Dažkārt jābūt uzstājīgam un jāgaida krietni ilgāk par noteikumos ierakstītajām 24 stundām. Īpaši bēdīgos gadījumos iespējams, ka sertifikātu nemaz nevarēs atsaukt. Piemēram, pētnieku sarakste ar Comodo beidzās ar priekšlikumu: „Aizmirstiet to sertifikātu un izņemiet jaunu.”

 

 

Jebkurā gadījumā dubulto sertifikātu visbiežāk tomēr var atsaukt. Tas ir gan labi, gan slikti. No vienas puses — jaunais domēna īpašnieks var aizsargāties pret vidutāja uzbrukumu, kurā tiek izmantots agrākais sertifikāts. No otras puses — tas nozīmē, ka kāds var iegādāties brīvu domēnu, kam izdots „kolektīvais” sertifikāts, un tad šo sertifikātu atsaukt. Tādējādi tiks stipri apgrūtināta attiecīgo vietņu apmeklēšana.

Cik plaša ir problēma? Izrādās, vēl plašāka nekā iepriekšējā: 7 miljoniem domēnu — vairāk nekā 2% no visa interneta! — ir kopīgs sertifikāts ar domēniem, kuru reģistrācijas termiņš jau beidzies. 41% agrāk izņemto sertifikātu joprojām ir derīgi. Tātad vairāki miljoni domēnu nav pasargāti no pakalpojumatteices (DoS) uzbrukuma, izmantojot agrāk izsniegta sertifikāta atsaukšanu.

 

 

Vēlreiz aplūkosim piemēru ar vienu sertifikātu uzreiz 700 domēniem. Lai parādītu, cik akūta ir šī problēma, pētnieki iegādājās vienu no domēniem, kuriem izdots šis kopējais sertifikāts. Tādēļ tagad viņiem ir teorētiska iespēja sarīkot DoS uzbrukumu simtiem citu vietņu.

Kā var aizsargāties?

Tātad 375 000 domēnu nav aizsargāti pret vidutāja (MiTM) uzbrukumu, bet vairākiem miljoniem draud DoS uzbrukums, izmantojot dubultu sertifikātu. Iespējams, ka šajā sarakstā ir arī jūsu domēni. Tā kā referāts lielākajā hakeru konferencē jau ir nolasīts, varat nešaubīties, ka tagad kāds meklē domēnus, kuri nav pasargāti no šādiem uzbrukumiem. Kā lai vietņu īpašnieki pret tiem aizsargājas? Lūk, ko iesaka Fosters un Eiri.

  • Jāizmanto HTTP galvene Expect-CT ar direktīvu “enforce”, lai būtu drošība, ka jūsu domēnam uzticami ir tikai tie sertifikāti, kuri iekļauti Certificate Transparency datubāzē.
  • Domēni jāpārbauda Certificate Transparency datubāzē, vai tik tiem nav derīgi, iepriekšējiem īpašniekiem izsniegti sertifikāti. To varat darīt, izmantojot Facebook rīku Certificate Transparency Monitoring. Lai vienkāršotu šo uzdevumu, pētnieki iesaka izmantot viņu radīto rīku iepriekš aprakstīto ievainojamību meklēšanai.

Vēl daži padomi.

  • Inventarizējiet visas sava uzņēmuma vietnes un pārbaudiet, vai šiem domēniem nav agrāk izdotu sertifikātu. Ja tādi atrodas, tad sazinieties ar attiecīgajiem sertifikācijas centriem un palūdziet šos sertifikātus atsaukt.
  • Nav ieteicams izņemt vienu sertifikātu uzreiz daudziem domēniem. Jo īpaši tad, ja jūsu uzņēmumā pieņemts ierīkot daudz mērķlapu un tām piesaistītu domēnu, kuru darbība netiek rūpīgi uzraudzīta. Ja tāda „pamesta” domēna reģistrācijas termiņš beidzas, un, ja to reģistrē kāds svešs cilvēks, tad viņam vajag tikai atsaukt sertifikātu, lai paralizētu jūsu uzņēmuma vietnes darbību.
  • Jau iepriekš jāapdomā situācija, kad sertifikāts nonāk svešās rokās — tad tas būs steidzami jāatsauc. Kā liecina pētījums, daži sertifikācijas centri reaģē pārāk lēni, tādēļ labāk vērsties tādos centros, kuri darbojas ātrāk.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

48 − 43 =

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu