Walczą z fałszywym certyfikatem
Microsoft stara się zablokować fałszywy certyfikat HTTPS, za pomocą którego można wykonać atak typu man-in-the-middle. Certyfikat został wydany dla witryn live.fi oraz www.live.fi. To adresy zarezerwowane dla usług Windows Live.
Certyfikat został już unieważniony przez Comodo, w której imieniu go wydano. Jednak, biorąc pod uwagę łatwość, z jaką można ominąć takie unieważnienie, istnieje spore ryzyko, że przestępcy będą mogli z niego korzystać.
Ostrzegamy użytkowników o nieprawidłowo wydanym certyfikacie SSL. Może on zostać wykorzystany podczas ataków phishingowych oraz ataków man-in-the-middle na użytkowników różnych witryn Microsoftu. Nie można go wykorzystać do wydania dodatkowych certyfikatów, ataku na inne domeny czy podpisania kodu - informuje Microsoft.
Problem ze wspomnianym certyfikatem to kolejny już dowód na słabość protokołu SSL, który jest de facto internetowym standardem używanym do szyfrowania ruchu. Już w 2009 roku znany badacz Moxie Marlinspike wykazał, że przestępcy mogą w bardzo prosty sposób oszukać wykorzystywane przez przeglądarki listy ważnych certyfikatów. Dzieje się tak, gdyż przeglądarka, łącząc się z serwerem na którym przechowywane są dane o certyfikatach uzna certyfikat za ważny jeśli nie uzyska dostępu do serwera. Wystarczy zatem spowodować, by informacja do przeglądarki nie dotarła i można przeprowadzić atak za pomocą fałszywego certyfikatu.
Na razie nie wiadomo, w jaki sposób doszło do sfałszowania certyfikatu. Z informacji przekazanych przez Microsoftu wynika, że wskutek błędu w systemie pocztowym ktoś nieuprawniony uzyskał dostęp do konta w domenie live.fi.
Słabość systemu cyfrowych certyfikatów polega też na tym, że dość łatwo jest taki certyfikat uzyskać, ale trudno go unieważnić. Jedynym skutecznym sposobem unieważnienia certyfikatu jest opublikowanie odpowiedniej aktualizacji przez producentów przeglądarek. Po jej zainstalowaniu przeglądarka nie dopuści do skorzystania ze sfałszowanego certyfikatu.
Komentarze (1)
wilk, 17 marca 2015, 20:56
W Firefoksie ustawiamy "security.OCSP.require" na "true", wówczas połączenie nie dojdzie do skutku (zakładając, że ktoś nie wyłączył OCSP).