Fałszywe certyfikaty SSL wystawione przez Comodo

Submitted by Lukasz on Thu, 2011-03-24 17:31

15 marca 2011 roku doszło do włamania na konto jednego z pracowników punktu rejestracji firmy Comodo. Pracownik ten miał uprawnienia do wystawiania certyfikatów SSL (służą do zabezpieczania stron internetowych). W efekcie Comodo wystawiło 9 fałszywych certyfikatów. Do ataku doszło najprawdopodobniej z terytorium Iranu.

Wskutek ataku możliwe jest "podszywanie się" pod następujące serwisy internetowe:

  • login.live.com
  • mail.google.com
  • www.google.com
  • login.yahoo.com
  • login.skype.com
  • addons.mozilla.org

Większość z nich to adresy, pod którymi znajdują się mechanizmy logowania użytkowników. Z tego wniosek, że atakujący mógł mieć na celu zdobycie bogatego zasobu loginów i haseł do popularnych usług. Przypomina to scenariusz, który miał miejsce w Tunezji: władze ingerowały w ruch internetowy i przejmowały hasła swoich obywateli (np. do Facebook).

Fałszywe certyfikaty zostały unieważnione. Choć teoretycznie powinno to wystarczyć, producenci oprogramowania (np. Microsoft) wydali też odpowiednie poprawki, które mają za zadanie rozpoznać i odpowiednio zinterpretować fałszywe certyfikaty.

Takie zdarzenia każą się zastanowić nad poziomem bezpieczeństwa krytycznej  infrastruktury Internetu. Moim zdaniem w tym przypadku zabrakło zabezpieczeń na poziomie komunikacji sieciowej. Prawdopodobnie operatorzy punktów rejestracji korzystali z panelu administracyjnego dostępnego bezpośrednio z Internetu, bez nawet podstawowych mechanizmów kontroli dostępu w oparciu o np. adres IP (że o VPN nie wspomnę).

Takie luźne podejście do tematu bezpieczeństwa daje firmie Comodo przewagę konkurencyjną, umożliwiając sprzedaż certyfikatów SSL przez globalną sieć partnerów i obniżając jednocześnie koszty, ale także powoduje istotne zagrożenie dla całości infrastruktury internetowej. 

Na szczęście atak ten nie polegał na skompromitowaniu certyfikatu głównego - w takim przypadku certyfikat ten musiałby zostać unieważniony, co z kolei mogłoby pociągnąć za sobą unieważnienie wszystkich certyfikatów SSL wystawionych przez Comodo. Wyobrażam sobie zamieszanie, jakie by to spowodowało, boję się też liczyć straty finansowe Klientów tej firmy (i ich partnerów). 

Comodo zabezpiecza obecnie około 300 000 witryn WWW (15% rynku).

Tags:

  • Share/Save

Add new comment

More information about text formats

Filtered HTML

  • Web page addresses and e-mail addresses turn into links automatically.
  • Allowed HTML tags: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <small>
  • Lines and paragraphs break automatically.

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.
CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.