Blog

Sofisticirani phishing napadi i vrednost EV sertifikata

Nedavno je pod lupom inženjera i konsultanata za sigurnost došla funkcionalnost svih modernih internet preglednika, a to je prikazivanje domene registrovane na raznim abecedama, odnosno znakovima. Radi se o punycode znakovima, na kojima je već neko vreme omogućeno i registrovanje domena. Tako pametno kreirane domene, kao što je https://www.аррӏе.com lako mogu prevariti korisnike da unesu poverljiv sadržaj (još jedan primer je https://www.еріс.com). Ova domena registrovana je kompletno na ćirilici, ima valjan SSL sertifikat izdat za njenu ASCII adresu, i da iza nje stoji uverljiv Apple, iTunes ili shop sadržaj, teško bi bilo uočiti prevaru i najopreznijim korisnicima.

Napad je uočljiv tek kod provere SSL sertifikata, što kod nekih preglednika zahteva i ulazak u developer tools.

Google je s Chromeom reagovao tako da od nadogradnje na Chrome 59 ne prikazuje punycode već same ASCII vrednosti, što možda nije pravedno prema korisnicima koji su ciljano registrovali svoje legitimne domene na drugim abecedama, npr. kineskim, ćirilici ili raznim posebnim znakovima čak i u europskim jezicima. Kako se stvarno ne radi o grešci (bug) već o funkcionalnosti (feature), Mozilla je odlučila da se ne upliće u te odluke već da rešavanje tog problema prepusti registrarima. Nego, ukoliko želite da onemogućite prikazivanje takvih domena u Firefoxu, to možete podesiti sami otvaranjem “about:config” u polje za adresu i postavljanjem opcije “network.IDN_show_punycode” na “true”.

Zbog svoje veličine i tržišnog udela koji Google ima s Chromeom, ovo nije prvi put da Google nameće svoje odluke na tržištu. Njihove reakcije ponekad imaju pozitivne ishode kao što su razvoj i prihvatanje novih i modernijih cipher suiteova, ali ponekad i direktnu štetu kompanijama s kojima se ne slažu. Na tom tragu, Google je od poslednje verzije Chromea (59) prestao prikazivati Symantec Extended Validation (EV) sertifikate kao EV već izgledaju kao obični Domain Validation (DV) sertifikati. EV sertifikat koristi i Veracomp, što na ovoj stranici vidite zelenim slovima ispred adrese, tako da njime Certification Authority koji ga je izdao garanciju svim korisnicima ove stranice da se stvarno nalaze na stranici koja predstavlja organizaciju za koju se izdaje.

Da bi CA, u ovom slučaju Entrust, pružio tu garanciju svim korisnicima ove stranice, on je obavio proces provere Veracompa kao organizacije i pružaoca potencijalnih usluga na ovoj stranici. Provere su trajale nekoliko dana i uključivale: nekoliko telefonskih poziva raznim više pozicioniranim učesnicima, naše ovlašćenje dodavanja zapisa u DNS za ovaj domen, pravne provere kompanije kao i legitimaciju odgovornih osoba njihovim dokumentima.

Deo procedure nije javno dostupan, ali temeljnost provere je jedina garancija budućim korisnicima da i sam Entrust garantuje da se nalaze na stranici koju očekuju. Većina finansijskih organizacija u svetu je prepoznala važnost EV sertifikata, a ista je situacija i kod nas u regiji gde sve vodeće banke koriste EV sertifikate na svom internet bankarstvu. Neke imaju odvojene sertifikate pa koriste EV samo na poddomeni samog Internet bankarstva, dok neke koriste EV za celu vršnu domenu. U svakom slučaju, korisniku garantuje i izdavač sertifikata da je na pravom mestu za obavljanje finansijskih transakcija. Neke banke su čak krenule i sa edukacijom korisnika da proveravaju sa kojih domena im Banka šalje email, koje adrese posećuju i slično. pogotovo u svetlu ovog napada gore, vidimo da se možda najjednostavnija, ali i najefikasnija edukacija korisnika može koncentrisati samo na činjenicu da korisnici paze na zelena slova pre adrese kada posećuju Internet bankarstvo.

U svetlu nedavnih događajaa sa Symantec CA (i njegovim podružnicama GeoTrust, Thawte, RapidSSL) za koje se u Chromeu očekuje prestanak EV tretmana prema već spomenutom timelineu, neugodna je činjenica da većina sertifikata izdatih u regiji dolazi upravo od Symantec CA članica. Razlozi su praksa olakog izdavanja certifikata, posebice EV-a, koja Googleu smeta već nekoliko godina i tako će konačno pokušati naterati Symantec da reevaluira svoje interne procese i pojača provere kod izdavanja Extended Validation sertifikata organizacijama. Ovo je još jedan primer moći zbog tržišnog udela, i nažalost zahvatiće i klijente Symanteca i njihove korisnike. Ono što svakako preporučamo svim bankama (i uopšteno zahvaćenim entitetima) u regiji jeste da se jave Symantecu za reizdavanje sertifikata, što bi trebalo biti besplatno, pre nego što budu zahvaćeni prema valjanosti istog. Npr. Symantec je sebi ponovo izdao sertifikat odmah nakon afere.

Dugoročno najsigurnije bi bilo koristiti Symantec certifikate s valjanošću kraćom od 9 mjeseci.

Za dugoročniju sigurnost i manje administrativnog posla s promenama i produživanjima sertifikata, možemo preporučiti Entrust CA (koji i sami koristimo), kompaniju kojoj je SSL temeljna delatnost tako da  je svakako u fokusu razvoja, a učestvuje aktivno u nadzornim i razvojnim organizacijama SSL-a/TLS-a odnosno uopšteno raznih komunikacijskih protokola i standarda.

Generalne postavke SSL-a na svojoj web stranici možete proveriti sa Entrust SSL Labs online alatom kao i preuzeti vodič ovde.

U svakom slučaju stojimo na raspolaganju za sve informacije i pitanja.

Treba Vam ponuda ili pomoć pri izradi rešenja? Tražite partnera za implementaciju?

Kontaktirajte nas!