Blog

Sofisticirani phishing napadi i vrijednost EV certifikata

Nedavno je pod povećalo inženjera i konzultanata za sigurnost došla funkcionalnost svih modernih internet preglednika, a to je prikazivanje domene registrirane na raznim abecedama, odnosno znakovima. Radi se o punycode znakovima, na kojima je već neko vrijeme omogućeno i registriranje domena. Tako pametno kreirane domene, kao što je https://www.аррӏе.com lako mogu prevariti korisnike da unesu povjerljiv sadržaj (još jedan primjer je https://www.еріс.com). Ova domena registrirana je kompletno na ćirilici, ima valjan SSL certifikat izdan za njenu ASCII adresu, i da iza nje stoji uvjerljiv Apple, iTunes ili shop sadržaj, teško bi bilo uočiti prijevaru i najopreznijim korisnicima.

Napad je uočljiv tek kod provjere SSL certifikata, što kod nekih preglednika zahtijeva i ulazak u developer tools.

Google je s Chromeom reagirao tako da od nadogradnje na Chrome 59 ne prikazuje punycode već same ASCII vrijednosti, što možda nije pravedno prema korisnicima koji su ciljano registrirali svoje legitimne domene na drugim abecedama, npr. kineskim, ćirilici ili raznim posebnim znakovima čak i u europskim jezicima. Kako se stvarno ne radi o grešci (bug) već o funkcionalnosti (feature), Mozilla je odlučila ne uplitati se u te odluke već rješavanje tog problema prepustiti registrarima. No, ukoliko želite onemogućiti prikazivanje takvih domena u Firefoxu, to možete podesiti sami otvaranjem “about:config” u polje za adresu i postavljanjem opcije “network.IDN_show_punycode” na “true”.

Zbog svoje veličine i tržišnog udjela koji Google ima s Chromeom, ovo nije prvi put da Google nameće svoje odluke na tržištu. Njihove reakcije ponekad imaju pozitivne ishode kao što su razvoj i prihvaćanje novih i modernijih cipher suiteova, ali ponekad i direktnu štetu tvrtkama s kojima se ne slažu. Na tom tragu, Google je od posljednje verzije Chromea (59) prestao prikazivati Symantec Extended Validation (EV) certifikate kao EV već izgledaju kao obični Domain Validation (DV) certifikati. EV certifikat koristi i Veracomp, što na ovoj stranici vidite zelenim slovima ispred adrese, te njime Certification Authority koji ga je izdao jamči svim korisnicima ove stranice da se stvarno nalaze na stranici koja predstavlja organizaciju za koju se izdaje.

Da bi CA, u ovom slučaju Entrust, pružio to jamstvo svim korisnicima ove stranice, on je obavio proces provjere Veracompa kao organizacije i pružatelja potencijalnih usluga na ovoj stranici. Provjere su trajale nekoliko dana i uključivale: nekoliko telefonskih poziva raznim više pozicioniranim uposlenicima, naše ovlasti dodavanja zapisa u DNS za ovu domenu, pravne provjere kompanije te legitimaciju odgovornih osoba njihovim dokumentima.

Dio procedure nije javno dostupan, ali temeljitost provjere je jedino jamstvo budućim korisnicima da i sam Entrust jamči da se nalaze na stranici koju očekuju. Većina financijskih organizacija u svijetu je prepoznala važnost EV certifikata, a ista je situacija i kod nas u regiji gdje sve vodeće banke koriste EV certifikate na svom internet bankarstvu. Neke imaju odvojene certifikate pa koriste EV samo na poddomeni samog Internet bankarstva, dok neke koriste EV za cijelu vršnu domenu. U svakom slučaju, korisniku jamči i izdavač certifikata da je na pravom mjestu za obavljanje financijskih transakcija. Neke banke su čak krenule i sa edukacijom korisnika da provjeravaju sa kojih domena im Banka šalje email, koje adrese posjećuju i slično. No, pogotovo u svjetlu ovog napada gore, vidimo da se možda najjednostavnija, ali i najefikasnija edukacija korisnika može koncentrirati samo na činjenicu da korisnici paze na zelena slova prije adrese kada posjećuju Internet bankarstvo.

U svjetlu nedavnih događanja sa Symantec CA (i njegovim podružnicama GeoTrust, Thawte, RapidSSL) za koje se u Chromeu očekuje prestanak EV tretmana prema već spomenutom timelineu, neugodna je činjenica da većina certifikata izdanih u regiji dolazi upravo od Symantec CA članica. Razlozi su praksa olakog izdavanja certifikata, posebice EV-a, koja Googleu smeta već nekoliko godina te će konačno pokušati natjerati Symantec da reevaluira svoje interne procese i pojača provjere kod izdavanja Extended Validation certifikata organizacijama. Ovo je još jedan primjer moći zbog tržišnog udjela, i nažalost zahvatit će i klijente Symanteca i njihove korisnike. Ono što svakako preporučamo svim bankama (i općenito zahvaćenim entitetima) u regiji jest da se jave Symantecu za reizdavanje certifikata, što bi trebalo biti besplatno, prije nego budu zahvaćeni prema valjanosti istog. Npr. Symantec je sebi ponovno izdao certifikat odmah nakon afere.

Dugoročno najsigurnije bi bilo koristiti Symantec certifikate s valjanošću kraćom od 9 mjeseci.

Za dugoročniju sigurnost i manje administrativnog posla s promjenama i produživanjima certifikata, možemo preporučiti Entrust CA (koji i sami koristimo), kompaniju kojoj je SSL temeljna djelatnost te je svakako u fokusu razvoja, a sudjeluje aktivno u nadzornim i razvojnim organizacijama SSL-a/TLS-a odnosno općenito raznih komunikacijskih protokola i standarda.

Generalne postavke SSL-a na svojoj web stranici možete provjeriti sa Entrust SSL Labs online alatom te preuzeti vodič ovdje.

U svakom slučaju stojimo na raspolaganju za sve informacije i pitanja.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter