Сертификаты безопасности SSL остаются надежным средством защиты от хакеров - эксперты

6 сентября 2011 года

Взлом серверов компании DigiNotar, выпускающей SSL-сертификаты безопасности для сайтов ЦРУ, MI6, Google, Facebook и других организаций, стал одним из крупнейших среди аналогичных атак. Однако, несмотря на масштаб инцидента, SSL-сертификаты остаются надежным способом защиты от хакеров, считают эксперты по информационной безопасности, опрошенные .

В результате атаки, о которой стало известно на минувшей неделе, более 500 сертификатов безопасности сервисов Google, Facebook, Twitter, Skype, а также сайтов западных спецслужб ЦРУ, MI6, "Моссад" и других попали в руки хакеров и в течение месяца сохраняли легитимный статус. С помощью поддельных SSL-сертификатов злоумышленники могли устраивать на пользователей фишинговые атаки, которые практически невозможно выявить, и, как следствие, получать доступ к персональным данным своих жертв.

"Это действительно крупнейшая из известных атак, связанных с SSL-сертификатами", - сказал вирусный эксперт "Лаборатории Касперского" Виталий Камлюк.

По мнению ведущего специалиста по компьютерной криминалистике Group-IB (расследует киберпреступления) Сергея Никитина, случившийся инцидент если не самый масштабный, то один из крупнейших.

Однако, по мнению экспертов, проблема в случае с данным инцидентом не в самих сертификатах, а в их поставщике.

По словам Камлюка, действительность сертификатов автоматически проверяет веб-браузер, который полагается на заранее известные ему доверенные сертификаты определенных организаций - центров сертификации.

"Проблема возникает тогда, когда центр сертификации утратил доверие, что, вероятно, и произошло с DigiNotar", - сказал эксперт.

УТРАТА ДОВЕРИЯ

SSL-сертификаты необходимы веб-браузеру для того, чтобы убедиться в подлинности открываемого сайта и предотвратить перехват данных. Специальные компании - центры сертификации, такие, как DigiNotar - выдают такие сертификаты сайтам, чтобы затруднить фишинговые и ряд других видов атак: если у сайта, который открывает пользователь в режиме зашифрованного соединения, нет выпущенного одним из доверенных компаний SSL-сертификата, он обязательно предупредит об этом пользователя и порекомендует не заходить на подозрительную веб-страницу.

В случае с атакой на DigiNotar эта система не сработала, поскольку в течение месяца все браузеры "считали", что более 500 сертификатов, которые, как теперь выяснилось, были подделаны хакерами, являются легитимными, а сайты злоумышленников, которые их выдавали браузерам - безопасными.

Ситуация усугубилась тем, что DigiNotar является одним из крупнейших в мире центров сертификации и доверие к нему было велико.

"Никто этого не ожидал, и некоторые платформы и приложения просто не были готовы к удалению центра сертификации из списка доверенных", - рассказал Виталий Камлюк.

Как сообщают специалисты по информационной безопасности из компании Fox-IT, которых DigiNotar привлекла к расследованию инцидента, появление фальшивых сертификатов стало возможным из-за недостатков в системе безопасности серверов DigiNotar, которые позволили хакеру получить права администратора и выпустить сертификаты с подписью DigiNotar.

На сегодняшний день исследователям известно лишь об одной крупной цели, которую хакеры атаковали, используя поддельные сертификаты DigiNotar. В период с 4 по 29 августа с помощью фальшивого сертификата сервисов Google было атаковано 300 тысяч компьютеров иранских пользователей, сообщают Fox-IT. Кроме того, незначительное количество атак было произведено на компьютеры, расположенные в США и Европе.

НАДЕЖНЫЙ СПОСОБ

По мнению Виталия Камлюка, несмотря на инцидент с DigiNotar, схема применения SSL-сертификатов остаётся надежной при условии, что сертификат выпущен доверенным источником - то есть присутствует необходимость создания более серьезной защиты инфраструктуры центров сертификации.

Похожего мнения придерживается Сергей Никитин. По его словам, случаи компрометации сертификатов крупных компаний происходят в среднем с периодичностью раз в полгода, но на данный момент не существует какой-либо альтернативы описываемой технологии.

"Теоретически шифрованные соединения с сервером можно установить, используя специальные технические решения, но тогда это, по сути, будет не интернет, а своеобразная локальная сеть", - пояснил Никитин.

SSL-сертификаты в любом случае нужно использовать, считает Камлюк.

"Но можно либо полагаться на классическую централизованную модель сертификации, либо перенести доверие в распределенную сеть, такую, как проект Convergence, где каждый пользователь может передать отношение доверия к сторонним сертификатам путем личной цифровой подписи. При этом вашу подпись будут использовать лишь те пользователи, кто ее знает и доверяет вам", - рассказал эксперт "Лаборатории Касперского".

Однако статус DigiNotar как доверенного центра сертификации может понизиться, считает эксперт из Group-IB.

"Репутация DigNotar серьезно пострадала. Ведь система выдачи сертификатов построена на взаимном доверии, и компания должна была обеспечить защиту своих серверов. Поэтому не исключено, что клиенты DigiNotar могут пересмотреть свое решение о дальнейшем сотрудничестве", - сказал Сергей Никитин.

По мнению Виталия Камлюка, этот инцидент может ударить не только по репутации DigiNotar, но и по всему бизнесу, связанному с сертификацией или устройствами цифровой подписи. Эксперт считает, что после оплошности такого крупного игрока клиенты, вероятно, будут относиться к другим центрам сертификации с меньшей степенью доверия.

Об атаке на DigiNotar стало известно на минувшей неделе, когда в сети был обнаружен первый поддельный сертификат сервисов компании Google. В понедельник стало известно о 531 поддельном сертификате. Также выяснилось, что они имели статус легитимных более месяца. В тот же день хакер под псевдонимом Comodohacker, известный аналогичной атакой на компанию Comodo в марте текущего года, взял на себя ответственность за взлом DigiNotar и пообещал проводить атаки на другие центры сертификации.

Производители интернет-браузеров оперативно отреагировали на угрозу: к понедельнику все фальшивые сертификаты были заблокированы во всех основных браузерах за исключением Safari для Mac OS X. Пользователям этой программы пока приходится блокировать поддельные сертификаты вручную.

Эксперты также отмечают, что под угрозой атаки находятся и практически все мобильные операционные системы: никаких специальных обновлений ни для Google Android, ни для iOS (платформа iPhone и iPad) не выпускалось, хотя сертификаты безопасности используются и мобильными браузерами.