SSL meltdown: a cyber war attack?
24 March 2011, 11:30
Theo: http://www.h-online.com/security/news/item/SSL-meltdown-a-cyber-war-attack-1214104.html
Bài được đưa lên Internet ngày: 24/03/2011
Lời người dịch: Việc quản lý các chứng chỉ số của các cơ quan chức thực cũng cần hết sức chú ý. Vừa qua cơ quan chứng thực Comodo đã phát hiện có những kẻ thâm nhập trái phép sử dụng các chứng chỉ SSL để thâm nhập trái phép vào một loạt các tên miền như “login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org và một tên miền “tin cậy toàn cầu” bí mật ("global trustee")”. Hiện chính phủ Iran bị nghi ngờ đã thực hiện vụ này nhằm thâm nhập vào các máy chủ thư điện tử và mạng xã hội của phe đối lập. Xem thêm: Iran tuyển chiến binh không gian mạng.
Comodo đã đưa ra thông tin xa hơn về sự thâm nhập trái phép vào Cơ quan Chứng thực (CA) mà đã cho phép những tin tặc không rõ danh tính có được các chứng chỉ SSL đối với các website hiện hành. Các tên miền bao gồm login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org và một tên miền “tin cậy toàn cầu” bí mật ("global trustee").
Theo các điều tra của công ty này, sự thâm nhập trái phép đã được thực hiện thông qua tài khoản của một nhà bán lẻ mà nhiệm vụ của người đó là để kiểm tra “các yêu cầu ký chứng thực” (CSRs) và sau đó truyền các yêu cầu này vào các hệ thống của Comodo. Một CSR là một yêu cầu cho một CA để ký một khóa công khai và là, hiện nay, được đề xuất thông qua một giao diện web. Những kẻ thâm nhập trái phép hình như đã giành được các ủy nhiệm truy cập của nhà bán lẻ đó; Comodo đã không đưa ra bất kỳ chi tiết nào hơn về nhà bán lẻ này. Tuy nhiên, nhà bán lẻ được cho là nằm tở Nam Âu, mà để lại nhiều nghi vấn.
Những thủ phạm không rõ danh tính, các dấu vết của họ đã dẫn tới Tehran, đã sử dụng các ủy nhiệm này để đăng nhập vào và tạo ra 9 CSRs, 3 trong số đó là để vào chỉ một mình login.yahoo.com. Tuy nhiên, Comodo nói rằng không thể xác minh được liệu những kẻ thâm nhập có thực sự được trao tất cả các chứng thực mà chúng yêu cầu hay không. CA cũng chỉ khẳng định rằng một chứng thực đối với login.yahoo.com đã bị sử dụng trên Internet.
Comodo cũng nói rằng sự thâm nhập trái phép đã được dò tìm ra trong vài giờ, và các chứng thực đã được thu hồi ngay lập tức. Các trình duyệt có thể sử dụng các Danh sách Thu hồi Chứng thực (CRL) hoặc Giao thức Tình trạng Chứng thực Trực tuyến (OCSP) để kiểm tra liệu một chứng chỉ đã bị thu hồi hay chưa. Tuy nhiên, vì điều này không phải lúc nào cũng đáng tin cậy, nên Comodo đã liên hệ với các chủ sở hữu trình duyệt này sao cho họ có thể đưa các dãy số của các chứng thực đó vào một danh sách tĩnh. Google và Mozilla đã trả lời, và Micrososft đã đưa ra một cập nhật phù hợp cho Internet Explorer vào hôm thứ tư ngày 23/03.
Comodo has released further information on the intrusion into its Certificate Authority (CA) that enabled unknown attackers to obtain SSL certificates for existing web sites. The domains include login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org and an unspecified "global trustee".
According to the company's investigations, the intrusion was carried out via the account of a reseller whose task is to check "Certificate Signing Requests" (CSRs) and then pass these requests on to Comodo's systems. A CSR is a request for a CA to sign a public key and is, nowadays, submitted via a web interface. The intruders apparently obtained the reseller's access credentials; Comodo didn't provide any further details about the reseller. However, the reseller is said to be located in Southern Europe, which leaves a lot of room for speculation.
The unknown perpetrators, whose tracks lead to Tehran, used these credentials to log in and create nine CSRs, three of which were for login.yahoo.com alone. However, Comodo says that it is impossible to verify whether the intruders were actually granted all the certificates they requested. The CA has only confirmed that a certificate for login.yahoo.com had already been used on the internet.
Comodo also says that the intrusion was detected within hours, and the certificates were revoked immediately. Browsers can use Certificate Revocation Lists (CRL) or the Online Certificate Status Protocol (OCSP) to check whether a certificate has been revoked. However, as this isn't always reliable, Comodo contacted the browser owners so they can enter the certificates' serial numbers in a static blacklist. Google and Mozilla had already responded, and Microsoft released an appropriate update for Internet Explorer on Wednesday 23 March.
Theo Comodo, việc giám sát giao thông của người trả lời OCSP đã không dò tìm ra được bất kỳ việc sử dụng có mưu toan nào đối với các chứng chỉ, dù điều này không có đáng kể nhiều biết ràng khả năng mà OCSP có thể được khóa lại. CA đã nhấn mạnh drawngf không có hệ thống nào của Comodo đã bị tổn thương bất kỳ lúc nào, và rằng không có các khóa cá nhân nào đã bị đọc từ Moduel An ninh của Phần cứng (HSMs).
Rất thú vị là các kết luận mà Comodo đã đưa ra từ vụ việc này: rằng bằng chứng của tình trạng này gợi ý rằng chính phủ Iran đã triển khai các cuộc tấn công, có lẽ để gián điệp về hạ tầng truyền thông của các thành viên phe đối lập. CA nói rằng chính phủ kiểm soát các máy chủ miền DNS, mà được cho là được yêu cầu đối với các cuộc tấn công này có khả năng diễn ra đầu tiên, và rằng vụ việc chủ yếu đã nhằm vào các máy chủ quản lý thư điện tử và các dịch vụ VoIP cũng như các site mạng xã hội.
According to Comodo, the monitoring of OCSP responder traffic has not detected any attempted use of these certificates, although this doesn't hold much significance given the possibility that OCSP can be blocked. The authority emphasised that none of Comodo's systems were compromised at any time, and that no private keys were read from the Hardware Security Modules (HSMs).
Highly interesting are the conclusions Comodo has drawn from the incident: that the circumstantial evidence suggests that the Iranian government carried out the attacks, probably in order to spy on the communication infrastructure of members of the opposition. The CA said that the government controls the DNS, which is reportedly required for these attacks to be possible in the first place, and that the incident mainly targeted servers hosting email and VoIP services as well as social networking sites.
(crve)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.