Кібератака з боку Ірану Хакери атакують основи Інтернету - DER SPIEGEL

кібератака

Інтернет-шпигуни: спецслужба Ірану намагається читати електронні листи?

Меліх Абдулхайоглу вивів найважчу словесну артилерію, щоб пояснити, що сталося з його програмною компанією. Кібер-атака, яка сталася минулого тижня, але про яку стало відомо лише зараз, - це щось на зразок 11 вересня в її галузі: "Наші власні літаки застосовувались проти нас", - сказав Абдулхайоглу "Провідний". Він є керівником компанії ІТ-безпеки Comodo, одного з небагатьох постачальників послуг, який керує одним із центральних стовпів структури безпеки мережі: сертифікати, за допомогою яких веб-сайти ідентифікують себе як справжні. У Комодо сталася велика помилка, яка може загрожувати дисидентам в Ірані, але також ставить під сумнів безпеку Інтернету в цілому.

Найпростіший спосіб пояснити те, що сталося, полягає в наступному: один або кілька невідомих хакерів, які, здається, працюють з Ірану, отримали підроблені ідентифікатори Інтернету, відомі як сертифікати безпеки. Вони фактично служать для класифікації веб-сайтів як реальних для кожного серфера.

За допомогою цих сертифікатів можна було б видавати себе за певний веб-сайт у будь-якому веб-браузері. У конкретному випадку, наприклад, як служба електронної пошти від Google (mail.google.com), Yahoo (login.yahoo.com) або Microsoft (login.live.com), як служба передачі голосу за IP-адресою Skype ( login.skype.com) або як платформа розширення веб-браузера Mozilla Firefox (addons.mozilla.org).

Комунікаційні платформи могли бути підслухані іншими хитрощами, якими могли скористатися лише державні організації. У найгіршому випадку зловмисники могли незаконно переправити шкідливе програмне забезпечення на комп’ютери користувачів Firefox через службу розширення Mozilla. Зараз підроблені сертифікати відкликано, і тому, хто постійно оновлює свій браузер, нема чого боятися. Однак основна проблема безпеки мережі не усунена.

Згідно з IP-адресою, вкрадені в Ірані мережеві ідентифікаційні картки могли б забезпечити ідеальну фішинг-атаку, так би мовити: нічого не підозрюючий користувач вводив би свої дані для входу та паролі на оманливо реальні веб-сайти, вважаючи, що вони мають безпечне Інтернет-з'єднання (розпізнається за абревіатурою https в адресному рядку браузера). Правда, однак, все спілкування пройшло б через інший сервер. Зловмисник міг стежити за цілою біржею або маніпулювати нею - уражені сайти - це насамперед платформи зв'язку.

Тотальне, непомічене спостереження

Однак для досягнення цього був би потрібен другий фокус - і це настійно говорить про те, що напад насправді був діянням державної організації.

Щоб зрозуміти цю частину, вам потрібні деякі базові знання в Інтернеті:

  • Якщо браузер повинен відкрити певний веб-сайт, йому потрібна додаткова інформація: переклад доменного імені (наприклад, www.spiegel.de) на IP-адресу (у випадку Spiegel.de: 195.71.11.67).
  • Цей переклад здійснюється системою доменних імен (DNS). Браузер запитує один із багатьох DNS-серверів у всьому світі, який номер IP належить до доменного імені, яке він збирається викликати.
  • Будь-хто, хто має контроль над відповідним DNS-сервером, в принципі може ввести браузер в оману - і переслати його на фактично неправильний номер IP на свій вибір.

Поєднання обох цих способів було б потужним та небезпечним: оман, введений в оману таким чином, який потім також демонструється підробленим веб-ідентифікатором, неминуче вважатиме підроблену веб-сторінку справжньою. Користувачеві було б практично неможливо визнати, що його обманюють. Не всі мають доступ до DNS-серверів - але, наприклад, влада Ірану. Таким чином, ви можете перенаправити всіх користувачів таких служб, як Googlemail, Yahoo-Mail або Skype, на свій власний веб-сайт і надати там копію реальної пропозиції.

Той, хто ввійшов у свій електронний рахунок, не помітив нічого незвичного; усе спілкування здійснювалось таємно через сервер зловмисника. Результатом буде повне, непомічене спостереження. Однак, мабуть, лише у відповідному регіоні - наприклад, німецькі користувачі не отримують свою DNS-інформацію з іранських DNS-серверів.

За словами Абдулхайоглу, насправді використано лише один із підроблених сертифікатів - сертифікат для Yahoo! Сам Комодо виявив, що зловмисники, мабуть, спробували це, знову ж таки через іранську IP-адресу.

Атакуйте через посередника

Цей тип нападу відомий у різних формах протягом багатьох років; його зазвичай називають "людиною посередині атаки". Посередник непомітно перемикається між відправником та одержувачем фактично зашифрованого зв'язку та читає все, що там обмінюється.

Бос Comodo Абдулхайоглу сказав "Wired": "На мій погляд, хтось намагається читати повідомлення електронної пошти". Така атака може працювати лише у великих масштабах, "якщо хтось має доступ до інфраструктури DNS". Сертифікати "самі по собі марні". Що не означає, що у Comodo немає величезних проблем. А разом із нею і вся система сертифікатів безпеки на основі довіри.

Сертифікати були викрадені у самої Comodo.Компанія є однією з десятків так званих органів сертифікації, які видають такі ID-картки в Інтернеті для нібито безпечних Інтернет-з'єднань. Зловмисники увійшли в систему Comodo з даними входу, які були вкрадені в інших місцях, і там, мабуть, повністю законно, придбали сертифікати для сайтів Google, Yahoo, Microsoft, Skype та Mozilla.

Саме цього, стверджує Торстен Хольц, фахівець з ІТ-безпеки з Університету Бохума, ніколи не мало статися. Чому ніхто з Comodo не запитав, чи сертифікати на сайти Google, Yahoo або Microsoft ще не були видані в іншому місці? Хольц: "Це катастрофа для Comodo, довіра - це їхня бізнес-модель". Той, хто видає сертифікат, зрештою запевняє себе, що відповідний веб-сайт насправді є тим, ким він претендує.

Чесні брокери з великими проблемами

У певному сенсі сертифікатори є чесними посередниками Інтернету. Наразі веб-браузери сліпо довіряють Comodo: кожна програма для серфінгу має так званий кореневий сертифікат, який інформує браузер, що сертифікати Comodo є надійними. І Comodo, пояснює Хольц, може видавати сертифікати для будь-якого веб-сайту у світі. Те саме стосується інших сертифікаційних органів, таких як американська компанія VeriSign. Вся справа не в останню чергу в бізнес-моделі; професійні сертифікатори стягують величезні збори.

Зараз усі фальсифіковані сертифікати відкликані. Mozilla, Google та Microsoft зробили свої браузери оновленнями, щоб більше не розпізнавати їх. Але це зайняло кілька днів - занадто довго, вважає Джейкоб Аппельбаум, експерт з ІТ-безпеки, університетський професор і хакер, який сам розкрив процеси власною детективною роботою. Аппельбаум аж ніяк не чужий для сцени - він працює в мережі анонімних повідомлень TOR і час від часу виступає симпатиком та помічником WikiLeaks. Зараз він висуває серйозні звинувачення проти Comodo і одночасно ставить під сумнів всю систему сертифікації Інтернету, засновану на взаємній довірі.

"Нам потрібні додаткові перевірки безпеки"

Зрештою Комодо відкликав сертифікати, але це сталося занадто пізно, і офіційного попередження не було видано. Однак найважчим видається той факт, що відкликання, мабуть, спочатку мало ефекту. Насправді є чорні списки з такими вилученими сертифікатами, які слід автоматично передавати браузеру, але це, здається, не працює належним чином. Інакше не всім виробникам браузерів довелося б випускати власні оновлення для програмного забезпечення для серфінгу. ІТ-дослідник Хольц вважає це надзвичайно тривожним: "Нам потрібні додаткові перевірки безпеки".

Якоб Аппельбаум писав: "Якщо фактичні механізми захисту не будуть застосовані, мало сподівань на те, що користувачі будуть насправді захищені".

Подібні атаки траплялися раз за разом в історії Інтернету. Наприклад, уже в 2001 році хтось придбав у VeriSign два сертифікати, за якими міг би видати себе за Microsoft. Тоді згодом були введені додаткові механізми захисту, але, здається, все ще є величезні прогалини. Навіть після цього випадку слабкі місця в системах SSL та DNS виявлялися знову і знову.

Один із них пов’язаний з тим, що передбачувана мережа довіри також включає неблагонадійні сторони. Організація цивільних прав Electronic Frontier Foundation критикує поточний випадок у своєму записі в блозі: "Такі країни, як Об'єднані Арабські Емірати та Туніс контролюють органи сертифікації, і в минулому одночасно ставили під загрозу комп'ютерну безпеку власних громадян. Але ці держави також контролюють домени DNS верхнього рівня (примітка). d.Red.: як .ae або .tn) "і, таким чином, може контролювати так звані захищені записи DNS (DNSSEC), згідно з EFF. Ця система DNSSEC насправді повинна зробити такі атаки неможливими.

Експерт з ІТ-безпеки Хольц вважає, що вся система сертифікатів потребує оновлення: "У цифровому світі на сьогоднішній день важко автентифікуватися надійно і таким чином, що його неможливо підробити".