Blog

Sofisticirani phishing napadi in vrednost EV certifikatov

Nedavno je pod povečevalno steklo inženirjev in svetovalcev za IT varnost prišla tudi funkcija vseh modernih brsklanikov, to pa je prikazovanje domene registrirane z raznimi znaki. Gre za punycode znake s katerimi je že dlje časa omogočena registracija domen. Tako lahko pametno ustvarjene domene, kot je naprimer https://www.аррӏе.com, zlahka pretentajo uporabnike, da vnesejo svoje zaupne podatke (še  en primer je https://www.еріс.com). Ta domena je v celoti registrirana v čirilici, ima veljaven SSL certifikat izdan za njen ASCII naslov in če bi za njo stala prepričljiva Apple, iTunes ali shop vsebina, bi tudi najbolj pozorni uporabniki težko prepoznali prevaro.

Napad je opazen šele pri preverjanju SSL certifikata, kar pa pri nekaterih brskalnikih zahteva vstop v developer tools.

Google je z brskalnikom Chrome reagiral tako, da z verzijo Chrome 59 ne prikazuje punycode ampak kar ASCII vrednosti, kar mogoče ni pravično do uporabnikov, ki so ciljano registrirali svoje pravilne domene z drugimi znaki, npr. kitajskimi, čirilico ali z raznimi drugimi znaki tudi evropskih jezikov. Ker v bistvu ne gre za napako (bug) ampak za funkcionalnost (feature), se je Mozilla odločila prepustiti reševanje tega problema registrarjem. Če želite, lahko v Firefoxu onemogočite prikazovanje takšnih domen, to naredite tako, da odprete “about:config” v polju za spletni naslov in postavite opcijo “network.IDN_show_punycode” na “true”.

Zaradi svoje velikosti in tržnega deleža, to ni prvič, da Google vsiljuje svoje odločitve na trgu. Njihove reakcije imajo včasih pozitivne učinke kot je prehod na modernejše cipher suite, včasih pa tudi negativne in oškodujejo mnoga podjetja. Poleg tega, je Google z zadnjo verzijo Chromea (59) prenehal prikazovati Symantec Extended Validation (EV) certifikate kot EV ampak jih prikazuje kot navadne Domain Validation (DV) certifikate. EV certifikat uporablja tudi Veracomp, kot lahko vidite na tej strani z zelenimi črkami pred naslovom ter ima Certification Authority, ki ga je izdal in jamči vsem uporabnikom te strani, da se zares nahajajo na strani, ki predstavlja organizacijo za katero se izdaja.

Da bi CA, v tem primeru Entrust, lahko zagotovil jamstvo vsem uporabnikom te strani, je izvedel proces preverjanja Veracompa kot organizacije in ponudnika potencialnih storitev na tej strani. Preverjanje je trajalo nekaj dni in zajemalo je: nekoliko telefonskih klicev z zaposlenimi na višjih položajih, pooblastila dodajanja v DNS za to domeno, pravno preverjanje podjetja ter legitimacija odgovornih oseb z njihovimi dokumenti.

Del procedure ni javno dostopen ampak temeljito preverjanje je edino jamstvo bodočim uporabnikom, da jim tudi Entrust jamči, da se nahajajo na strani, ki jo pričakujejo. Večina finančnih organizacij na svetu je prepoznala vrednost EV certifikatov, enako pa je tudi pri nas v regiji, ker vse vodilne banke uporabljajo EV certifikate na svojih straneh za spletno bančništvo. Nekatere imajo ločene certifikate in uporabljajo samo EV samo na poddomeni spletne banke, nekatere pa uporabljajo EV za celotno krovno domeno. V vsakem primeru izdajatelj certifikata jamči uporabniku, da je na pravem mestu za opravljanje transakcij. Nekatere banke so celo šle v smeri izobraževanja uporabnikov, da preverjajo s katerih domen jim banka pošilja mail, katere naslove obiskujejo in podobno. V primeru napada zgoraj vidimo, da se lahko najenostavnejša in najučinkovitejša izobrazba uporabnika lahko osredotoči samo na dejstvo, da morajo biti uporabniki pozorni na zelene črke pred naslovom, ko so na strani za spletno bančništvo.

V luči nedavnih dogodkov s Symantec CA (in njegovimi podružnicami GeoTrust, Thawte, RapidSSL), za katere se v Chromeu pričakuje prenehanje prikazovanja kot EV glede na že omenjeni timeline, je neugodno dejstvo, da večina izdanih certifikatov v regiji prihaja prav s strani Symantec CA članic. Razlog je praksa ohlapnega izdajanja certifikatov, zlasti EV, ki moti Google že več let ter bo končno skušal prisiliti Symantec, da ponovno ovrednoti svoje interne procese in okrepi preverjanje pri izdajanju Extended Validation certifikatov organizacijam. To je še en primer moči zaradi tržnega deleža, ki bo žal vplival na Symantec in njihove uporabnike. To kar priporočamo vsem bankam (in nasplošno vseh na katere to vpliva) v regiji je, da kontaktirajo Symantec za ponovno izdajo certifikata, ki bi morala biti brezplačna, preden občutijo vpliv afere. Npr., Symantec je sebi ponovno izdal certifikat takoj po aferi.

Dolgoročno bi najbolj varno bilo uporabljati Symantec certifikate z veljavnostjo manj kot 9 mesecov.

Za dolgoročnejšo varnost in manj administrativnega dela s spreminjanjem in podaljševanjem certifikatov, vam lahko predlagamo Entrust CA (katerega uporabljamo tudi samo), podjetje kateremu je SSL temeljna dejavnost ter je vsekakor v fokusu razvoja, aktivno pa sodeluje tudi v nadzornih in razvojnih SSL/TLS organizacijah ter nasplošno v raznih komunikacijskih protokolov in standardov.

Generalne nastavitve SSL-a na svoji spletni strani lahko preverite z Entrust SSL Labs online orodjem, vodič pa lahko prenesete tukaj.

V vsakem primeru pa smo vam na voljo za vse informacije in dodatna vprašanja.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter