Meg kell regulázni a tanúsítványkezelést

Az EFF (Electronic Frontier Foundation) alapítvány összegyűjtötte azokat a biztonsági incidenseket, amelyeket hitelesítésszolgáltatók ellen kezdeményezett a kiberbűnözés. A szervezet az elmúlt négy hónap során több támadásról szerzett tudomást, amelyek kisebb nagyobb mértékben hátrányosan érintettek SSL-tanúsítványokat. A legjelentősebb esemény kétségtelenül a holland DigiNotart érte, amely a támadás következtében csődbe ment. Az incidens során több mint 500 tanúsítvány vált kiszolgáltatottá, majd nem sokkal később hamis Google, Facebook, Twitter, Yahoo, Skype, stb. tanúsítványok jelentek meg az interneten.

November 4-én egy másik holland szolgáltató, a KPN ismerte el, hogy a tanúsítványkezelő rendszerét támadás érte, aminek hatására átmenetileg felfüggesztette a tanúsítványok kiállítását. Az eddigi vizsgálatok során ugyan nem került elő olyan bizonyíték, melyek arról árulkodnának, hogy a tanúsítványokat kezelő rendszerhez hozzáfértek a támadók, azonban az kiderült, hogy a KPN-rendszerében négy éven keresztül egy elosztott szolgáltatásmegtagadási támadásokra lehetőséget adó eszköz volt megtalálható. "Ahogy a cégek megerősítik a belső biztonsági megoldásaikat, úgy teljes mértékben elvárható lenne, hogy ilyen régi fenyegetettségeket felismerjenek. Nem értem, hogy miként maradhat egy DDoS eszköz négy évig rejtve" - mondta Roel Schouwenberg, a Kaspersky Lab kutatója.

Csöbörből vödörbe

A KPN-nel kapcsolatban olyan hírek is napvilágot láttak, melyek szerint vannak olyan szervezetek, amelyek korábban a DigiNotar szolgáltatásait vették igénybe, és a támadás után átpártoltak a KPN-hez, ahol nem sokkal később ismét problémákkal találták magukat szemben. Mindez pedig a digitális tanúsítványokra épülő technológiákba vetett bizalom megrendüléséhez vezethet. Legalábbis ettől tart az EFF, amely egy további incidenst is kiemelt. Ez a maláj Digicert kapcsán merült fel, és 22 tanúsítvány kompromittálódásához vezetett. Az eset miatt a Mozilla, a Microsoft és a Google is frissítéseket adott ki. Az Apple pedig az iOS 5.0.1 révén kezelte a problémát.

Az EFF bejelentette, hogy jelenleg olyan ajánlások kidolgozásával foglalkozik, amelyeknek köszönhetően remélhetőleg meg lehet majd erősíteni a hitelesítésszolgáltatók infrastruktúrájának védelmét. "Számos módja van a HTTPS/TLS/SSL által jelentett biztonsági megoldások megkerülésének, még akkor is, ha a webhelyekkel minden rendben van. Olyan javaslatokat fogunk tenni, melyek révén a biztonságkritikus weboldalak és elektronikus levelezési rendszerek megvédhetők lesznek abban az esetben is, ha egy hitelesítésszolgáltatót bárhol a világon támadás ér" - nyilatkozta Peter Eckersley, az EFF technológiai projektekért felelős igazgatója.