Kybernetický útok z Iránu Hackeri útočia na základy internetu - DER SPIEGEL

hackeri

Internetoví špióni: iránska tajná služba sa pokúša čítať e-maily?

Melih Abdulhayoglu priniesol najťažšie slovné delostrelectvo, aby vysvetlil, čo sa stalo s jeho softvérovou spoločnosťou. Kybernetický útok, ku ktorému došlo minulý týždeň, ale stal sa známym až teraz, je v jeho priemysle niečo ako 11. september: „Naše vlastné lietadlá boli použité proti nám,“ uviedol Abdulhayoglu „Wired“. Je vedúcim spoločnosti v oblasti IT bezpečnosti Comodo, jedného z mála poskytovateľov služieb, ktorí spravujú jeden z ústredných pilierov bezpečnostnej štruktúry siete: certifikáty, pomocou ktorých sa webové stránky identifikujú ako pravé. V Comode došlo k chybe kapitálu, ktorá by za určitých okolností mohla ohroziť disidentov v Iráne, spochybňuje však aj bezpečnosť internetu ako celku.

Najjednoduchší spôsob, ako vysvetliť, čo sa stalo, je nasledujúci: Jeden alebo viac neznámych hackerov, ktorí pôsobia z Iránu, získali falošné internetové ID, známe ako bezpečnostné certifikáty. Slúžia vlastne na klasifikáciu webových stránok ako skutočných pre všetkých surferov.

S týmito certifikátmi by bolo možné vydávať sa za konkrétnu webovú stránku pre akýkoľvek webový prehliadač. V konkrétnom prípade napríklad ako e-mailová služba od spoločnosti Google (mail.google.com), Yahoo (login.yahoo.com) alebo Microsoft (login.live.com), ako služba Voice-over-IP Skype ( login.skype.com) alebo ako rozširujúca platforma pre webový prehliadač Mozilla Firefox (addons.mozilla.org).

Komunikačné platformy mohli napadnúť ďalšie triky, ktoré mohli použiť iba vládne organizácie. V najhoršom prípade by útočníci mohli pašovať škodlivý softvér do počítačov používateľov prehliadača Firefox prostredníctvom služby rozšírenia Mozilla. Sfalšované certifikáty boli teraz odvolané a každý, kto udržuje svoj prehliadač aktuálny, sa nemusí obávať. Základný problém zabezpečenia siete však nie je vylúčený.

Podľa adresy IP by sieťové identifikačné karty odcudzené z Iránu umožnili dokonalý phishingový útok: Netušiaci používatelia by zadali svoje prihlasovacie údaje a heslá na klamne skutočne vyzerajúcich webových stránkach v domnení, že majú zabezpečené pripojenie na internet (známe pod skratkou) https v paneli s adresou prehliadača). V skutočnosti by však všetka komunikácia prešla cez iný server. Útočník mohol sledovať alebo manipulovať s celou výmenou - dotknuté stránky sú predovšetkým komunikačné platformy.

Celkový nepozorovaný dohľad

Na dosiahnutie tohto cieľa by však bol potrebný druhý trik - a to výrazne naznačuje, že útok bol v skutočnosti činnosťou štátnej organizácie.

Na pochopenie tejto časti potrebujete základné znalosti internetu:

  • Ak má prehliadač otvoriť určitú webovú stránku, potrebuje ďalšie informácie: Preklad názvu domény (napr. Www.spiegel.de) na adresu IP (v prípade Spiegel.de: 195.71.11.67).
  • Tento preklad vykonáva systém názvov domén (DNS). Prehliadač sa pýta jedného z mnohých serverov DNS na celom svete, ktoré číslo IP patrí k názvu domény, ktorej sa chystá zavolať.
  • Ktokoľvek, kto má kontrolu nad príslušným serverom DNS, by mohol prehľadávač v zásade uviesť do omylu - a preposlať ho na skutočne nesprávne číslo IP podľa vlastného výberu.

Kombinácia týchto dvoch riešení by bola efektívna a nebezpečná: Takto zavádzaný prehliadač, ktorému sa potom zobrazí aj sfalšované ID webu, by nevyhnutne považoval falošnú webovú stránku za pravú. Pre používateľa by bolo prakticky nemožné rozpoznať, že je podvedený. Nie každý má prístup k serverom DNS - napríklad iránske orgány. Môžete teda presmerovať všetkých používateľov služieb ako Googlemail, Yahoo-Mail alebo Skype na svoje vlastné webové stránky a poskytnúť tam kópiu skutočnej ponuky.

Každý, kto sa prihlási do svojho e-mailového účtu, by si nevšimol nič neobvyklé; všetka komunikácia prebiehala tajne cez server útočníka. Výsledkom bude celkové nepozorované sledovanie. Pravdepodobne však iba v príslušnom regióne - napríklad nemeckí používatelia nezískavajú svoje údaje DNS od iránskych serverov DNS.

Podľa Abdulhayoglu sa v skutočnosti použil iba jeden z falšovaných certifikátov - ten pre Yahoo. Samotný Comodo zistil, že útočníci to zjavne skúsili, opäť prostredníctvom iránskej IP adresy.

Útok cez prostredníka

Tento typ útoku je známy už mnoho rokov v rôznych formách a bežne sa označuje ako „útok človekom v strede“. Sprostredkovateľ bez povšimnutia prepína medzi odosielateľom a príjemcom skutočne šifrovanej komunikácie a číta všetko, čo sa tam vymieňa.

Šéf Comodo Abdulhayoglu pre „Wired“ povedal: „Podľa môjho názoru sa niekto snaží prečítať e-mailovú komunikáciu.“ Takýto útok môže fungovať iba vo veľkom rozsahu, „ak má niekto prístup k infraštruktúre DNS“. Certifikáty sú „samy osebe zbytočné“. Čo však neznamená, že Comodo nemá obrovský problém. A s ním aj celý systém dôveryhodných bezpečnostných certifikátov.

Certifikáty boli ukradnuté samotnej spoločnosti Comodo. Spoločnosť je jedným z desiatok takzvaných certifikačných autorít, ktoré vydávajú takéto internetové identifikačné karty na údajne bezpečné pripojenie na internet. Útočníci sa prihlásili do systému Comodo pomocou prihlasovacích údajov, ktoré boli ukradnuté inde a tam, zjavne úplne legálne, získali certifikáty pre stránky Google, Yahoo, Microsoft, Skype a Mozilla.

To je presne to, čo sa podľa Thorstena Holza, bezpečnostného špecialistu z univerzity v Bochume, nikdy nemalo stať. Prečo sa nikto v spoločnosti Comodo nepýtal, či certifikáty pre stránky Google, Yahoo alebo Microsoft ešte neboli vydané inde? Holz: "Pre spoločnosť Comodo je to katastrofa, dôvera je ich obchodným modelom." Každý, kto vydá certifikát, sa v konečnom dôsledku ubezpečuje, že príslušná webová stránka je skutočne tým, za koho sa vydáva.

Čestní makléri s veľkými problémami

V istom zmysle sú certifikátori čestní sprostredkovatelia internetu. Webové prehľadávače doteraz spoločnosti Comodo slepo dôverovali: každý program na surfovanie má v sebe naočkovaný takzvaný koreňový certifikát, ktorý prehliadaču hovorí, že certifikáty Comodo sú dôveryhodné. A Comodo, vysvetľuje Holz, môže vydávať certifikáty pre akýkoľvek web na svete. To isté platí pre ďalšie certifikačné autority, ako napríklad americkú spoločnosť VeriSign. Celá záležitosť je v neposlednom rade obchodným modelom; profesionálni certifikátori vyberajú vysoké poplatky.

Všetky falšované certifikáty boli teraz stiahnuté. Mozilla, Google a Microsoft vyrobili svoje prehľadávače aktualizáciami, ktoré ich už nespoznávali. Ale to trvalo niekoľko dní - príliš dlho, verí Jacob Appelbaum, expert na IT bezpečnosť, univerzitný profesor a hacker, ktorý tieto procesy odhalil sám pomocou svojej detektívnej práce. Appelbaum nie je v žiadnom prípade cudzincom na scéne - pracuje v anonymizačnej sieti TOR a príležitostne sa javí ako sympatizant a pomocník WikiLeaks. Teraz podáva vážne obvinenia proti spoločnosti Comodo a súčasne spochybňuje celý internetový certifikačný systém založený na vzájomnej dôvere.

„Potrebujeme viac bezpečnostných kontrol“

Comodo nakoniec certifikáty odvolal, ale stalo sa to príliš neskoro a nebolo vydané nijaké oficiálne varovanie. Najťažšou sa však zdá byť skutočnosť, že odvolanie malo zjavne spočiatku malý účinok. V skutočnosti existujú čierne zoznamy s takými stiahnutými certifikátmi, ktoré by sa mali automaticky odovzdať prehliadaču - ale zdá sa, že to nefunguje správne. Inak by nemuseli všetci výrobcovia prehľadávačov vydávať svoje vlastné aktualizácie svojho softvéru na surfovanie. IT výskumník Holz si myslí, že je to mimoriadne znepokojujúce: „Potrebujeme viac bezpečnostných kontrol.“

Jacob Appelbaum napísal: „Ak sa nepresadia mechanizmy skutočnej ochrany, existuje len malá nádej, že používatelia budú skutočne chránení.“

Podobné útoky sa vyskytli opakovane v histórii internetu. Napríklad už v roku 2001 niekto získal dva certifikáty od spoločnosti VeriSign, pomocou ktorých sa mohol vydávať za spoločnosť Microsoft. V tom čase boli následne zavedené ďalšie ochranné mechanizmy - stále sa však zdá, že existujú obrovské medzery. Aj po tomto prípade boli znovu a znovu objavené slabiny v systémoch SSL a DNS.

Jedna z nich súvisí so skutočnosťou, že domnelá sieť dôveryhodností zahŕňa aj nedôveryhodné strany. Organizácia pre občianske práva Electronic Frontier Foundation kritizuje súčasný prípad v príspevku na blogu: „Krajiny ako Spojené arabské emiráty a Tunisko kontrolujú certifikačné orgány a v minulosti súčasne ohrozili počítačovú bezpečnosť svojich občanov. Tieto štáty však tiež kontrolujú domény DNS najvyššej úrovne (poznámka d.Red.: ako .ae alebo .tn) “a podľa EFF by tak mohli sami kontrolovať takzvané zabezpečené záznamy DNS (DNSSEC). Tento systém DNSSEC by mal skutočne také útoky znemožniť.

Expert na IT bezpečnosť Holz považuje celý systém certifikátov za nevyhnutný na renováciu: „V digitálnom svete je v súčasnosti ťažké autentizovať sa bezpečne a spôsobom, ktorý sa nedá falšovať.“