Miksi ilmainen tai halpa DV varmenne ei välttämättä ole hyvä idea

17.9.2018

Varmenteiden turvallisuuden kolme tasoa

Olemme kirjoittaneet aiheesta kohta jo romaanin verran, mutta ehkäpä on jälleen aika palata aiheeseen. En lähde syvällisesti kuvaamaan varmenteiden kolmea turvallisuuden tasoa (Domain Validation = DV, Organization Validation = OV ja Extended Validation = EV), näistä voitte lukea aiemmista blogeistamme. Sen sijaan otan kantaa siihen miksi organisaatioiden, jotka haluavat näyttää asiakkailleen välittävänsä tietoturvasta, tulisi käyttää vähintään OV tasoisia varmenteita. Referoin tässä hiljattain The Register julkaisun artikkelia, jossa kerrotaan saksalaisten tutkijoiden löytäneen keinon kuinka huijata joitakin varmennuspalveluita (Certificate Authority eli CA) myöntämään varmenteita palveluun hyökkääjälle.

Miksi tämän tulisi huolestuttaa sinua?

Palvelun käyttäjänä sinut on pahimmillaan voitu ohjata sivustolle, joka näyttää täsmälleen palvelulta minne olitkin kirjautumassa. Katsot tunnollisena, että yhteys on salattu, selain sanoo sen olevan turvallinen (Secure). Syötät palveluun käyttäjätunnuksesi ja salasanan ja ne tallentuvat rikollisen tietojärjestelmiin. Näin rikollinen voi käyttää tunnuksiasi omiin tarkoituksiinsa.

Palvelun tarjoajana sinun tulisi huolehtia siitä, että varmenne, jota käytät, on hankittu turvalliselta taholta ja kyllä, mielellään vähintään organisaatiovalidoituna (OV).

Mekanismia, jota hyökkäyksessä käytetään, kutsutaan nimellä: DNS CACHE POISONING

”Hyökkäys käynnistetään DNS Pyynnöllä ja onnistuakseen tässä täytyy hyökkääjän pystyä muodostamaan oikeanlainen DNS vastaus ENNEN kuin varsinainen, autenttinen, vastaus oikealta palvelimelta tulee. Hyökkäyksen tulee pystyä paloittelemaan DNS vastaus siten, että siihen pystytään syöttämään väärennettyä tietoa ja näin saadaan kyseinen CA toimittamaan varmenne hyökkääjälle”. Koska tämä väärydellä hankittu varmenne on sidottu hyökkääjän julkiseen avaimeen, hän voi käyttää sitä mielin määrin väärentääkseen kohteekseen valitun palvelun ja suojatakseen sen varmenteella.

Kuinka tältä voitaisiin suojautua?

Fraunhofer, joka haavoittuvuuden on havainnut, on kehittänyt DV++ protokollan parannuskeinoksi kyseisen hyökkäysmetodin torjumiseksi. Metodi on julkaistu Fraunhoferin sivustolla ja on ilmaiseksi ladattavissa. Huom! Tämä ei siis ole tarkoitettu yleisön tai yksittäisen palveluntarjoajan käyttöön, vaan tarkoituksena on parantaa DV varmenteita toimittavien CA palveluiden luotettavuutta.

Lisää aiheesta:
Fraunhoferin uutinen

Fraunhoferin ehdotus korjaukseksi

The Register artikkeli, jota referoin.

Lue lisää