A kiberbűnözők előszeretettel hamisítják a Facebook és a Google tanúsítványait is. A helyzet két éve nem változik.

Az önmagában nem újdonság, hogy digitális tanúsítványokkal próbálnak visszaélni a kiberbűnözözők. A módszer ugyanis alkalmas arra, hogy elhitesse a felhasználókkal: legális szolgáltatásokat vesznek igénybe, és eredeti weboldalakon járnak.

A böngészőfejlesztésnek éppen ezért fontos iránya, hogy a böngésző valamiféleképpen jelezze a felhasználónak: az adott weblap vagy alkalmazás hamis vagy éppen a visszavont tanúsítványt tartalmaz. Jellemzően egész oldalas, igencsak szembetűnő figyelmeztetéseket jelenítenek meg, ha egy weboldal SSL tanúsítványával valami nincs rendben. Sok alkalmazásnál, főleg a mobil appoknál azonban ez még hiányzik.

Közbeékelődéses támadásokra használják

A Netcraft egyik közelmúltbeli vizsgálata, amelyről a cég hivatalos blogján számoltak be, számos olyan tanúsítványra bukkant, amelyek első ránézésre neves bankokhoz, szolgáltatókhoz, kereskedelmi vállalatokhoz vagy éppen közösségi oldalakhoz tartoznak. Csakhogy valójában ezek precízen összeállított, de ún. önaláírt, nem hiteles SSL tanúsítványok voltak.

A hamis tanúsítványok az asztali és a hordozható számítógépeken futtatott, modern webböngészők esetében nem jelentenek túl nagy kockázatot, ugyanis azok jól láthatóan figyelmeztetik a felhasználót a veszélyre. Ennek ellenére mégis veszélyesek.

A hamis tanúsítványok ugyanis képesek átjutni a nem megfelelően kivitelezett programok, mobil alkalmazások biztonsági ellenőrzésein, és így például ún. közbeékelődéses (man-in-the-middle) támadásokat hajthatnak végre. Ennek lényege, hogy az elkövetők a felhasználó és a célpontba állított rendszer közé próbál "beékelődni", hogy lehallgathassa és manipulálhassa az adatforgalmat. Erről azonban a felhasználó többnyire már csak akkor szerez tudomást, amikor már késő.

A közbeékeléses támadás sémája

A Netcraft a Google, a Facebook, valamint az Apple nevében készült hamis tanúsítványokat is talált, de létezik olyan is, amellyel orosz bankok elektronikus fizetési szolgáltatásaival lehet visszaélni. Szerencse a szerencsétlenségben, hogy a támadások sikeréhez számos körülménynek kell egyszerre teljesülnie.

Először is a felhasználónak olyan alkalmazást kell futtatnia, amely nem ellenőrzi megfelelően a tanúsítványokat. Emellett a támadónak be kell épülnie a felhasználó és a felkeresett webszerver közé. Ez utóbbira például a Wi-Fi hálózat, a névszerver-beállítások manipulálása vagy akár routerek kompromittálása is lehetőséget ad.

A mobil alkalmazások fejlesztői nem tanulnak

De nem csak a Netcraft mostani elemzései jelzik ennek a típusú problémának a súlyosságát. A Stanford Egyetem és a Texasi Egyetem kutatói még 2012-ben elemeztek egy sor asztali és mobil alkalmazást, amiből kiderült: gyakori, hogy a szoftverekben és alkalmazás-könytárakban igencsak hiányos az SSL tanúsítványok érvényességének ellenőrzése. Így azokban különösebb nehézségek nélkül létrehozhatók önaláírt tanúsítványok.

A legutóbb ugyanezt vizsgálta két német egyetem, a hannoveri Leibniz Egyetem és a marburgi Philipps Egyetem kutatócsoportja. 13 500 androidos alkalmazást vizsgáltak meg. 1074 olyan alkalmazást találtak, amelyben az SSL támogatás közel sem volt megfelelő: vagy érvényesnek minősítettek önaláírt tanúsítványokat, vagy olyan tanúsítványokat is elfogadtak, melyek nem is ahhoz a domainhez tartoztak, amit az adott alkalmazás megpróbált elérni.

Az IOActive biztonsági cég szintén egy közelmúltbeli kutatása pedig az iOS-kompatibilis banki alkalmazásokat vizsgált: az elemzésnek alávetett alkalmazások 40 százaléka nem ellenőrizte megfelelően a digitális tanúsítványokat, és ilyen módon sérülékeny volt a közbeékelődéses támadásokkal szemben.

Ez azért komoly veszély, mert míg a modern webböngészőkkel viszonylag egyszerű felismerni a közbeékelődéses támadást a figyelmeztetések miatt, ugyanerre a mobil alkalmazásoknál még nincs kialakult gyakorlat. A helyzet egyébként már csak azért sem túl rózsás, mert a két német egyetem egy 2012-es kutatása egy sor problémát feltárt már, mégsem történt érdemi változás. Akkor is az volt a kutatás fő megállapítása, hogy a mobil alkalmazásoknál alapvető problémák vannak a SSL/TLS támogatással. Ráadásul akkor a kutatók összefüggést is találtak e probléma és az American Express, a Paypal, a Facebook, a Twitter, a Google és a Yahoo! Szolgáltatásait érintő incidensek között.

(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)

Biztonság

A Tesla bármelyik másik márkánál több halálos balesetben érintett

Az elmúlt években gyártott járműveket vizsgálva kiderült, hogy az amerikai utakon a Teslák az átlagosnál kétszer gyakrabban szerepelnek végzetes ütközésekben a megtett mérföldek arányában.
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.