Tämä artikkeli on julkaistu jo kesällä 2015, mutta asia on aina ajankohtainen.
Digitoday 16.6.2015: ”Kasperskyn murtajilla huima temppu: Johtopäätös karmii selkäpiitä”. Artikkeli jatkaa: ”Tietoturvayhtiö Kaspersky Lab kertoi lisää kokemastaan tietomurrosta. Käytetyssä Duqu 2.0 -haittaohjelmassa käytettiin sertifioitua varmennetta, jonka oli allekirjoittanut Hon Hai Precision Industry eli elektroniikkavalmistaja Foxconn.”
Oheiset tarkentavat kuvat ovat SecureListin artikkelista 15.6.
Kyseessä oli VeriSignin allekirjoittama Code Signing -sertifikaatti. Kun käyttäjä (tai toinen järjestelmä) käynnistää ohjelmiston, niin käynnistäjä voi olla varma, että ohjelmakoodi on aito.
Paitsi siis nyt! Mitä tässä tapahtui?
Kun kirjoitetaan ”Sertifikaatin varastamisesta” niin ilmaisu ei ole tarkka. Sitä ei tarvitse varastaa, koska softa tarjoaa sen kaikille halukkaille.
Kun Foxconn on 2015 tehnyt palvelimella sertifikaattihakemuksen, on palvelimelle muodostunut salainen avain ja julkinen avain. Julkisella avaimella Foxconn on hakenut sertifikaatin. Salainen avain on pitänyt tallettaa niin, että se ei varmaan päädy kenenkään ulkopuolisen käsiin. Tässä ei ole onnistuttu. Varkaat ovat saaneet käsiinsä allekirjoitussertifikaattiin liittyvän salaisen avaimen.
Sama koskee verkkopalvelujen suojaamiseen käytettäviä SSL-sertifikaatteja. Salainen avain (Private Key) on tyypillisesti vain kyseisellä palvelimella ja mahdollisesti backupissa. Jos samaa sertifikaattia käytetään useammalla palvelimella (esim. Wildcard = *.asiakas.com), saatetaan kopioida myös salainen avain sertifikaatin kera useammalle palvelimelle.
On tärkeää tietää, että pääsy salaisiin avaimiin on estetty ulkopuolisilta. Jos tässä epäonnistutaan, on organisaation oma toiminta ensin välittömästi vaakalaudalla. Jos oma organisaatiosi tekee vaikka verkkokauppaa ja yhtenä päivänä osa liikenteestä ohjautuukin laittomalle kauppasivulle, joka verifioidusti näyttää omalta palvelultasi, on lopputulos karmea.
Tämä esimerkki näyttää, että tuho ei rajoitu vain siihen yritykseen, jonka salaiset avaimet ovat saatavilla. Niitä voidaan pahimmassa tapauksessa käyttää hyökkäyksiin täysin ulkopuolisia organisaatioita kohtaan.
Lisää infoa saa SSL-tiimiltämme: info@ssl-apua.fi
