Кибератака от Иран Хакерите атакуват основите на Интернет - DER SPIEGEL

кибератака

Интернет шпиони: Тайните служби на Иран се опитват да четат имейли?

Мелих Абдулхайоглу издигна най-тежката словесна артилерия, за да обясни какво се е случило със софтуерната му компания. Кибер атака, която се случи миналата седмица, но едва сега стана известна, е нещо като 11 септември в нейната индустрия: „Собствените ни самолети бяха използвани срещу нас“, каза Абдулхайоглу „Wired“. Той е ръководител на компанията за ИТ сигурност Comodo, един от малкото доставчици на услуги, които управляват един от централните стълбове на структурата за сигурност на мрежата: сертификати, с които уебсайтовете се идентифицират като истински. В Комодо се случи капиталова грешка, която може да застраши дисиденти в Иран при определени обстоятелства, но която също поставя под въпрос сигурността на Интернет като цяло.

Най-лесният начин да обясните случилото се е по следния начин: Един или повече неизвестни хакери, които изглежда оперират от Иран, са получили фалшиви интернет идентификатори, известни като сертификати за сигурност. Те всъщност служат за класифициране на уебсайтовете като реални за всеки сърфист.

С тези сертификати би било възможно да се представяте за конкретен уебсайт за всеки уеб браузър. В конкретния случай, например, като услугата за електронна поща от Google (mail.google.com), Yahoo (login.yahoo.com) или Microsoft (login.live.com), като услугата Voice-over-IP Skype ( login.skype.com) или като разширена платформа за уеб браузъра Firefox на Mozilla (addons.mozilla.org).

Комуникационните платформи биха могли да бъдат подслушвани с други трикове, които само правителствените организации биха могли да използват. В най-лошия случай атакуващите биха могли да пренесат незаконно злонамерен софтуер в компютрите на потребителите на Firefox чрез разширената услуга на Mozilla. Сега фалшивите сертификати са изтеглени и всеки, който поддържа браузъра си актуален, няма от какво да се страхува. Основният проблем на мрежовата сигурност обаче не е елиминиран.

Според IP адреса, откраднатите от Иран мрежови лични карти биха позволили перфектна фишинг атака, тъй като: нищо неподозиращите потребители щяха да въведат данните си за вход и пароли в измамно реално изглеждащи уебсайтове, вярвайки, че имат защитена интернет връзка (разпозната от съкращението https в адресната лента на браузъра). В действителност обаче цялата комуникация би минала през различен сървър. Нападателят е могъл да проследи или манипулира целия обмен - засегнатите сайтове са предимно комуникационни платформи.

Тотално, незабелязано наблюдение

За да се постигне това обаче, би бил необходим втори трик - и това категорично подсказва, че атаката всъщност е била действие на държавна организация.

За да разберете тази част, имате нужда от някои основни познания за интернет:

  • Ако браузърът трябва да отвори определен уебсайт, той се нуждае от допълнителна информация: Преводът на името на домейна (напр. Www.spiegel.de) в IP адрес (в случая на Spiegel.de: 195.71.11.67).
  • Този превод се извършва от системата за имена на домейни (DNS). Браузърът пита един от многото DNS сървъри по света кой IP номер принадлежи на името на домейна, който ще се обади.
  • Всеки, който има контрол над съответния DNS сървър, по принцип може да заблуди браузъра - и да го препрати до действително грешен IP номер по свой избор.

Комбинацията от двете би била мощна и опасна: заблуден по този начин браузър, който след това се показва и с фалшив уеб идентификатор, неизбежно ще смята фалшивата уеб страница за истинска. На практика би било невъзможно за потребителя да разпознае, че е измамен. Не всеки има достъп до DNS сървъри - но иранските власти например. Така че можете да пренасочите всички потребители на услуги като Googlemail, Yahoo-Mail или Skype към вашия собствен уебсайт и да предоставите копие на реалната оферта там.

Всеки, който влезе в имейл акаунта си, няма да забележи нищо необичайно; цялата комуникация ще се изпълнява тайно чрез сървъра на нападателя. Резултатът би бил пълен, незабелязан надзор. Въпреки това, вероятно само в съответния регион - немските потребители например не получават своята DNS информация от ирански DNS сървъри.

Според Абдулхайоглу всъщност е използван само един от фалшивите сертификати - този за Yahoo! Самият Комодо установи, че нападателите очевидно са го опитали, отново чрез ирански IP адрес.

Атакувайте през посредника

Този тип атака е известен в различни форми в продължение на много години; той обикновено се нарича "човек в средата атака". Посредникът превключва незабелязано между подателя и получателя на действително криптирана комуникация и чете всичко, което се обменя там.

Шефът на Comodo Абдулхайоглу каза пред "Wired": "Според мен някой се опитва да чете съобщения по имейл." Подобна атака може да работи само в голям мащаб, "ако някой има достъп до DNS инфраструктурата". Сертификатите са „сами по себе си безполезни“. Което не означава, че Comodo няма огромен проблем. И заедно с това цялата базирана на доверие система от сертификати за сигурност.

Сертификатите са откраднати от самия Comodo.Компанията е една от десетките така наречени сертифициращи органи, които издават такива Интернет ID карти за уж сигурни интернет връзки. Нападателите са влезли в системата Comodo с данни за вход, които са били откраднати на друго място и там, очевидно напълно законно, са придобили сертификатите за сайтовете Google, Yahoo, Microsoft, Skype и Mozilla.

Точно това, казва Торстен Холц, специалист по ИТ сигурност от университета в Бохум, никога не би трябвало да се случи. Защо никой от Comodo не попита дали сертификати за сайтовете на Google, Yahoo или Microsoft вече не са били издадени другаде? Холц: "Това е катастрофа за Comodo, доверието е техният бизнес модел." Всеки, който издава сертификат, в крайна сметка се уверява, че съответният уебсайт наистина е този, за когото се представя.

Честни брокери с големи проблеми

Сертифициращите в известен смисъл са честните брокери на Интернет. Досега уеб браузърите са се доверявали сляпо на Comodo: всяка сърфираща програма има така наречения корен сертификат, в който е инокулиран, който казва на браузъра, че сертификатите Comodo са надеждни. И Comodo, обяснява Holz, може да издава сертификати за всеки уебсайт в света. Същото се отнася и за други сертифициращи органи като американската компания VeriSign. Всичко това е не на последно място бизнес модел; професионалните сертифициращи събират солидни такси.

Всички фалшифицирани сертификати вече са изтеглени. Mozilla, Google и Microsoft направиха своите браузъри с актуализации, за да не ги разпознават повече. Но това отне няколко дни - твърде дълго, смята Джейкъб Апелбаум, експерт по ИТ сигурност, университетски професор и хакер, който сам разкри процесите със собствената си детективска работа. Апелбаум в никакъв случай не е непознат на сцената - той работи в мрежата за анонимизация TOR и понякога се появява като съмишленик и помощник на WikiLeaks. Сега той отправя сериозни обвинения срещу Comodo и в същото време поставя под въпрос цялата система за сертифициране в Интернет, основана на взаимно доверие.

„Имаме нужда от повече проверки за сигурност“

В крайна сметка Комодо извика сертификатите, но това се случи твърде късно и не бе издадено официално предупреждение. Най-труден обаче изглежда фактът, че отзоваването очевидно първоначално е имало слаб ефект. Всъщност има черни списъци с такива оттеглени сертификати, които трябва автоматично да бъдат предадени на браузъра - но това изглежда не работи правилно. В противен случай не всички производители на браузъри би трябвало да издават свои собствени актуализации за сърфиращия си софтуер. ИТ изследователят Холц смята, че това е изключително тревожно: „Нуждаем се от повече проверки за сигурност“.

Джейкъб Апелбаум пише: "Ако действителните защитни механизми не бъдат приложени, малко е надеждата, че потребителите действително ще бъдат защитени."

Подобни атаки се случват многократно в историята на Интернет. Още през 2001 г. например някой придоби два сертификата от VeriSign, с които можеше да се преструва, че е Microsoft. По това време бяха въведени допълнителни защитни механизми - но изглежда все още има огромни пропуски. Дори след този случай слабостите в SSL и DNS системите бяха откривани отново и отново.

Един от тях е свързан с факта, че предполагаемата мрежа на доверие включва и ненадеждни страни. Организацията за граждански права Electronic Frontier Foundation критикува настоящия случай в публикация в блог: „Държави като Обединените арабски емирства и Тунис контролират сертифициращите органи и в миналото едновременно компрометираха компютърната сигурност на собствените си граждани. Но тези държави контролират и DNS домейни от най-високо ниво (забележете d.Red.: като .ae или .tn) "и по този начин могат сами да контролират така наречените сигурни DNS записи (DNSSEC), според EFF. Тази система DNSSEC всъщност трябва да направи подобни атаки невъзможни.

Експертът по ИТ сигурност Holz смята, че цялата система от сертификати се нуждае от обновяване: "В цифровия свят в момента е трудно да се удостоверите сигурно и по начин, който не може да бъде фалшифициран."