Facebook A Descoperit Certificate Digitale False În Timp Ce Își Observa Conexiunile SSL

Conținutul acestui articol nu mai este de actualitate!

Un grup de cercetători de la Universitatea Carnegie Mellon, în colaborare cu Facebook, au analizat mai mult de 3 milioane de conexiuni SSL și au găsit dovezi puternice că cel puțin 0.2% (6845) dintre acestea sunt făcute folosind certificate digitale false, respectiv certificate semnate de sine (self-signed), care nu sunt autorizate de o autoritate de certificare legitimă, dar care pot fi acceptate ca certificate valide pentru majoritatea browserelor.

Aceștia au utilizat plugin-ul Flash Player pentru a obține accesul asupra porturilor TCP-IP și pentru a implementa un handshake SSL parțial pentru a captura certificatele falsificate. În general, browserele moderne afișează un mesaj de avertizare (ca cel de mai jos) când întâlnesc erori în procesul de validare a certificatului SSL, dar tot permit utilizatorului să continue, chiar și cu o conexiune mai puțin sigură.

Eroare SSL Facebook

Conexiunile SSL false pot pretinde că erorile certificatelor sunt cauzate de un server prost configurat. Conform studiilor de utilizabilitate, mulți utilizatori ignoră erorile certificatelor SSL și astfel devin vulnerabili celor mai simple atacuri. Acest lucru înseamnă că orice hacker poate impersona cu succes orice site, chiar și pentru conexiuni HTTPS, pentru a realiza un atac man-in-the-middle, putând astfel intercepta datele criptate transmise prin acea conexiune.

Certificate Digitale False Semnate Cu Chei Furate De La Antiviruși

Cercetătorii au observat că majoriteatea certificatelor SSL false folosesc același nume ca și certificatele originale eliberate de autorități de certificare cum sunt VeriSign sau Comodo.

Unele programe antivirus, cum sunt BitDefender, ESET, BullGuard, Kaspersky Lab, NordNet și DefenderPro, au abilitatea de a intercepta și scana conexiunile SSL pe sistemele utilizatorilor, pentru a-i apăra pe aceștia de conexiuni SSL false. Aceste programe antivirus generează propriile lor certificate, care le înlocuiesc pe cele semnate de sine (self-signed) ale atacatorilor.

Utilizatorii ar trebui să se teamă de atacatorii profesioniști care ar putea fi capabili să fure cheile private ale certificatelor antivirușilor, care, în esență, le-ar permite acestora să-i spioneze (din moment ce certificatul root ar fi considerat de încredere de către sistem).” explică cercetătorii. “Teoretic, guvernele de asemenea ar putea convinge vendorii de antiviruși să le predea certificatele lor.

Aceleași capabilități au fost observate și în diferite programe de firewall sau control parental, care ar putea fi, de asemenea, compromise de hackeri, cu scopul de a genera certificate digitale valide dar false.

Certificate Digitale Generate De Malware

Cercetătorii au mai observat un alt certificat interesant, numit IopFailZeroAccessCreate, care a fost generat de un anumit malware pe sistemele utilizatorilor și care folosește același nume ca certificatul original emis de autoritatea de certificare VeriSign Class 4 Public Primary CA.

Aceste variante sunt dovada clară că atacatorii generează certificate cu atribute ale emitentului false și chiar au crescut în complexitate pe timpul studiului nostru.” spun cercetătorii.

Statisticile detectate arată că utilizatorii infectați cu același malware care instalează certificatele false IopFailZeroAccessCreate sunt răspândiți în 45 de tari diferite, inclusiv în Mexic, Argentina și SUA. Cercetătorii de la Facebook, în colaborare cu echipa Microsoft Security Essentials, au confirmat aceste suspiciuni și au identificat exact tipul de malware responsabil pentru acest atac.

Detectarea Și Migrarea Atacului

Atacatorii pot, de asemenea, restricționa porturile TCP-IP folosite de Flash prin blocarea politicii de trafic (traffic policy) prin portul 843 sau pot evita interceptarea conexiunii SSL făcute de Flash Player în totalitate pentru a ocoli metodele de detectare folosite de cercetători. Pentru a contracara acest lucru, site-urile ar putea servi fișierele politicii de trafic prin porturi care sunt deja deschise în Firewall (80 și 443), alternând astfel traficul web cu cel dedicat politicii de trafic.

În plus, cercetătorii au discutat despre tehnici de migrare care sunt în lucru, cum ar fi HSTS, HPKP, TLS-OBC și DANE, care ar putea fi folosite de către servere pentru a impune traficul prin protocolul HTTPS.

Cum Să Eliminați Malware-ul

Dacă sunteți infectați cu un malware similar, urmați pașii de mai jos:

  • Verificați ca fișierul hosts să nu conțină intrări malițioase
    (C:\Windows\System32\Drivers\etc\hosts);
  • Verificați setările DNS din sistem sau de pe router/modem;
  • Verificați setările proxy din browser;
  • Verificați addon-urile și plugin-urile instalate în browser;
  • Instalați un antivirus sau firewall recunoscut și scanați sistemul de fișiere malițioase.

Sursa: The Hacker News

Conținutul acestui articol nu mai este de actualitate!

13 Comentarii

  1. Articolul e bun dar face presupuneri gresite. Iti spun din surse sigure ca cel putin Bitdefender nu are cum sa aiba cheile private furate sau compromise. Cheile private sunt unice pentru fiecare utilizator si instalare de Bitdefender (se genereaza la fiecare instalare) si se creeaza si sunt pastrate doar pe statia utilizatorului.

    Astfel teoria ca un guvern poate forta o companie de antivirus sa predea cheile de criptare nu sta in picioare.

    Daca un atacator ajunge sa iti poata fura cheia privata de pe calculatorul unde ai instalat antivirusul ai deja mult mai multe probleme decat faptul ca iti intercepteaza Facebook-ul.

    • Articolul nu face neapărat presupunerea că au fost furate cheile private de la Bitdefender. Și oricum, gândește-te la posibilitatea că ai deja malware-ul în cauză în calculator și încă nu este pe lista Bitdefender. Desigur, acest malware probabil a fost deja inclus pe lista lor de potențiale amenințări și cum este detectat este automat și șters. Dar tine cont că hackerii care fac astfel de viruși/malware, sunt întotdeauna cu un pas înaintea celor care fac produse antivirus. Durează ceva timp până când malware-ul este descoperit. Asta însemnând că există timp suficient că malware-ul să fure certificatul antivirusului și să-l folosească în scopuri malițioase, chiar dacă acesta este generat la instalare. Deci nu aș zice că e o presupunere chiar atât de SF.

  2. Si eu in cazul asta ce sa fac?

  3. Am si eu o problema cu Google Chrome. Imi da urmatoarea eroare cand intru pe google.ro: „Conexiunea nu este privată. Atacatorii pot încerca să vă fure informațiile de pe google.ro (de exemplu, parolele, mesajele sau informațiile despre cardurile de credit) – NET::ERR_CERT_AUTHORITY_INVALID”.

    YouTube, Facebook si alte site-uri merg, dar nu ma lasa sa intru pe Google sa caut si eu ceva. Am tot incercat tot felul de chestii si nu inteleg care e problema. Rulez pe Windows 10. Antivirus Kaspersky Internet Security 2015 (desi nu cred ca este de la antivirus, ca pana acum nu am avut problema cu el).

  4. Am și eu aceeași problemă, nu pot accesa pagina de Google în nici un fel după nici un navigator, pentru că îmi scrie conexiunea nu este sigură, și am Windows 8 și un laptop Samsung. Este încă în garanție. L-am trimis de 3 ori în garanție, printre care ultima dată direct la Samsung și mi-au spus că nu au găsit nici o anomalie, dar de fapt laptopul are această problemă din primul moment în care l-am cumpărat. Am ajuns acasă și am vrut să intru pe Google și nu a mers. Ce pot să mai fac? Vă rog ajutați-mă pentru că nu știu ce să mai fac cu el.

    • Faptul că nu poți accesa pagina Google nu are nici un fel de legătură cu partea hardware (fizică) a laptopului și nu este necesar să-l duci la garanție pentru asta. Problema este în software, adică fie cu Windows-ul, fie cu Chrome, sau ce alte browsere mai folosești. Este foarte posibil ca eroarea respectivă să apară pentru că ai data și ora setate greșit. Dacă ai data și ora corecte, atunci s-ar putea să ai Windows-ul virusat. Iți recomand să instalezi un antivirus și să scanezi sistemul de viruși.

  5. Macamete George
    Macamete George

    Salut. Am aceeasi problema: singurul website pe care nu pot intra este Google, in rest totul merge frumos. Am verificat tot sistemul, antivirus original nu fake (sa ii zic asa), data si ora sunt corecte (ma uit simultan la sistemul care are probleme si cel care este ok, respectiv cel de pe care scriu acum). Nu se pupa cu nimic problema mea cu a altor persoane. Ce sfaturi poti sa imi dai?

    • Macamete George
      Macamete George

      Mentionez ca folosesc Windows 8.1 Pro N, iar antivirusul meu este Bitdefender Total Security 2015.

      • Mi se pare tare suspect. Cred că ai firewall-ul de la Bitdefender configurat prost. Eset și Bitdefender cauzează destul de multe probleme cu certificatele SSL pentru că încearcă să iți scaneze conexiunea criptata și alterează certificatele de securitate originale. Găsești pe Google cum să oprești scanarea pentru conexiunile securizate, posibil chiar la ei pe site.

        Dacă nu, încearcă să reinstalezi browser-ul, sau în cel mai rău caz, Windows-ul. Poate are vreun bug pe undeva.

  6. A dracului data ce poate sa faca! Desi nu stiu cum s-a intamplat sa se deregleze. Merci mult pentru ponturi!

Comentariile sunt închise.