Hlavní kauzou posledního týdne byly falešné bezpečnostní certifikáty podvržené v důsledku selhání firmy DigiNotar (certifikační autorita) a hacknutí DNS serveru, které se projevilo na řadě známých webů, ačkoliv ty přímo kompromitovány nebyly. Následuje pravidelný čtvrteční bezpečnostní přehled.
V kauze falešných certifikátů se stále objevují nové informace, pojďme se podívat, jak se o ní psalo „chronologicky“.
Holanská firma DigiNotar vydala stovky falešných bezpečnostních certifikátů; firma připustila, že útočníkům se podařilo kompromitovat její systém. Původně se zdálo, že nejvážnějším problémem bude bezpečnostní certifikát Googlu, posléze se ukázalo, že problém s falešnými certifikáty byl vážnější.
Útočníci stihli vytvořit podvodné certifikáty i např. pro weby typu CIA, Mossadu a britské MI6. Spolu s Google GMailem byl potenciálně kompromitován i Facebook, Twitter, Skype,Yahoo, Microsoft, Tor, WordPress nebo služba Windows Update. Ne ve všech případech byl ale problém stejně závažný.
DigiNotar vydávala certifikáty SSL a EVSL (Extended Validation Secure Sockets Layer). Tyto „otisky“ potvrzují, že uživatel přistupuje na pravý web, a odhalí se tak např. manipulace se záznamy DNS. Je-li certifikát v pořádku, má za normálních okolností uživatel jistotu, že není obětí podvodu a může dále klidně pracovat třeba s internetovým bankovnictvím. V tom je právě riziko současné kauzy.
Brzy vzniklo podezření, že za útokem stojí Írán, protože právě zde byly podvodné certifikáty nasazeny. Ti, kdo stojí za útokem, by se tímto způsobem mohli dostat např. k přístupovým údajům místních uživatelů GMailu. Objevily se již i příspěvky íránských uživatelů, kteří (přirozeně pod přezdívkami) tvrdili, že se měli stát právě obětí tohoto triku. To prý minimálně vyžadovalo nějakou podporu pro útok na úrovni místního poskytovatele Internetu (ParsOnline a další). Certifikační autorita DigiNotar tak svými chybami klidně může způsobit, že někdo v Íránu dostane trest smrti. Firma ve svém byznysu téměř jistě končí.
Výrobci prohlížečů se urychleně snaží, aby browsery uživatele před podvodnými certifikáty varovaly. Jenomže – falešné certifikáty byly v oběhu asi od 10. července a nikdo přesně neví, co všechno se mezi tím mohlo stát. A ani jak dlouho bude trvat, než pozastavení platnosti těchto certifikátů celým Internetem „probublá“.
The Register v této souvislosti poznamenává, že už nedávný problém s certifikáty Comodo naznačoval, že akce byla provedena z Íránu. K útoku se však přihlásil i kdosi, kdo tvrdí, že holanská firma se stala obětí za masakr v bosenské Srebenici, kterému nizozemští vojáci nezabránili (k tomu ovšem došlo v roce 1995).
Zdroj: The Register, HelpNet Security
Jak to vypadalo ve firmě Diginotar? Vyšetřování průniku provádí firma FoxIT, která audituje IT bezpečnost. Pohroma a ostuda. Nejdůležitější servery obsahovaly malware, který by mohl být detekován běžným antivirovým softwarem. Servery certifikační autority byly normálně propojeny s místní sítí LAN. Byly přístupné pouze kombinací jména a hesla, navíc špatně zvoleného a prolomitelného hrubou silou. Software na serverech byl nezáplatovaný atd.
Zdroj: HelpNet Security
Útočník z Íránu tvrdí, že získal přístup i k dalším certifikačním autoritám. Později uvedl, že jde o jeho individuální akci, za níž nestojí místní vláda. Má se mu věřit?
Zdroj: The Register
Akce proti firmě DigiNotar se začíná označovat jako Operace Černý tulipán. Kompromitováno mohlo podle ní být až 300 000 účtů íránských uživatelů GMailu. Vyšetřování by mohlo ukazovat, že k hacknutí došlo mnohem dříve, než se původně předpokládalo, už na počátku června. Falešné certifikáty tedy mohly být používány delší dobu. Útočníci podle vyšetřování zřejmě použili nástroj Cain & Abel, ale i řadu vlastních skriptů. Některé působí poměrně amatérsky, jiné pokročile. Použité prostředky nejspíš ukazují, že šlo opravdu o akci stejného jednotlivce nebo skupiny, která v březnu odcizila i digitální certifikáty partnera firmy Comodo.
Falešným certifikátům již nedůvěřuje software Mozilly, Googlu i Microsoftu (komentář Microsoftu na MS Security Response Center, řešení problému zatím neprovedl Apple. Firma Vasco, která DigiNotar koupila letos v lednu, tvrdí, že celý problém ale nijak neovlivňuje její základní produkt, bezpečnostní technologii DigiPass. Certifikáty DigiNotar do ní měly být totiž implementovány až příští rok.
Zdroj: The Register
Jak hodnotí kauzu CNet? Viz např. články tady, nebo zde. První text pokládá incident za konec důvěry nejen v některá místa na Internetu, ale v systém certifikátů jako celek. V druhém článku najdete mj. video od FoxIT k operaci Black Tulip.
V reakci na incident přestala vydávat své SSL certifikáty také firma VeriSign. Útočník totiž prohlašuje, že dokáže vytvořit i falešné certifikáty dalších autorit, nicméně žádné důkazy nepředložil. VeriSign se domnívá, že nijak kompromitována nebyla, nicméně provádí vyšetřování svých systémů. Kauza nicméně stále bobtná a objevují se nové a nové informace…
Zdroj: The Register
Nyní k dalším nedávným událostem ze světa IT bezpečnosti
Celá řada webů vypadala jako hacknuta útočníky z Turecka (viz obrázek). Problém postihl mj. i námi často citovaný britský server The Register nebo The Daily Telegraph a National Geographics, z firem pak např. Vodafone, britský web Aceru a Microsoftu.
Kompromitován byl ale ve skutečnosti DNS server společnosti NetNames, samotné výše zmíněné weby nijak narušeny nebyly. The Register v době problémů provedl další bezpečnostní opatření, např. znepřístupnil veškeré služby vyžadující zadání hesla.
Samotný problém trval asi 3 hodiny, pro někoho ale déle (podvržený záznam mohl zůstat v cache v prohlížeči, směrovači, DNS serveru místního ISP…) Samotný The Register se stal jednou z obětí. Zde je citováno i vysvětlení společnosti NetNames.
Útočníci provedli průnik přes SQL injection a mohli libovolně měnit IP adresy odpovídající příslušným záznamům na DNS serveru.
K útoku se přihlásila turecká skupina TG (TurkGuvenligi, guvenligi má být v turečtině „bezpečnost“), která byla dle vlastního tvrzení nedávno odpovědná i za kompromitování řady webů v Jižní Korei. Zde byly hacknuty DNS záznamy firmy Gabia a problém pak postihl až 100 000 domén. TG pravděpodobně fungují pro vlastní zábavu a mediální publicitu, nesnaží se na svých útocích vydělat; přesměrovávají na web deklarující hacknutí, nepokoušejí se o nápodobu webů spojenou s phishingem ani o šíření malwaru.
Dále na toto téma viz. ZDNet, HelpNet Security
Hacker vystupující pod přezdívkou SparkyBlaze, dřívější člen skupiny Anonymous, poskytl v rozhovoru řadu doporučení, které by firmy měly provést, aby jejich sítě nebyly zranitelné vůči současné vlně útoků. Kromě obvyklých rad (šifrování, fyzická bezpečnost, systémy pro ochranu sítě IDS a IPS) doporučuje také najímat externí firmu, která by bezpečnostní situaci v podniku pravidelně auditovala. SparkyBlaze se od Anonymous a LulzSec distancoval kvůli tomu, že zveřejňují nikoliv jen uniklé informace vlád, ale i osobní údaje dalších lidí a útočí i proti soukromým subjektům.
Řada úspěšných útoků provedených v poslední době nebyla nijak sofistikovaných, nepoužívaly se zde např. techniky řazené do kategorie APT (Advanced Persistent Threats). K rozsáhlému narušení ale stačilo, aby někdo klikl na přílohu v e-mailu. Kompromitování jediného počítače pak umožnilo útočníkům i přístup k dalším zdrojům – chyběly např. systémy ochrany dat proti úniku (DLP).
Zdroj: InformationWeek
V této souvislosti viz také: Hackeři spříznění s Anonymous se přihlásili k Hollywood Leaks.
Zdroj: CNet
Za nalézání bezpečnostních zranitelností platí už i Facebook. Během prvních 3 týdnů existence tohoto programu firma odměnila účastníky programy 40 000 dolary. Maximální částka za reportování 1 chyby je určena na 5 000 dolarů.
Zdroj: The Register
Poznámka: Přístup různých firem se zde liší, např. Mozilla a Google za reportované bezpečnostní chyby platí, Microsoft, Adobe a Oracle to odmítají. Microsoft vypisuje spíše jednorázové odměny např. za informace vedoucí k usvědčení autorů červů, provozovatelů botnetů apod.
Další dva údajní členové Anonymous zatčeni v Irsku – za narušení webu místní politické strany Fine Gael. Útočníci vystupující pod přezdívkami Raepsauce a Palladium nejen přepsali úvodní stránku, ale také se zmocnili souboru s osobními daty uživatelů registrovaných na daném webu. Oba mladíci jsou vyšetřováni na svobodě.
Zdroj: HelpNet Security