Iráni számítógépes támadás A hackerek megtámadják az Internet alapjait - DER SPIEGEL

számítógépes

Internetes kémek: Irán titkosszolgálata megpróbál e-maileket olvasni?

Melih Abdulhayoglu kihozta a legnehezebb verbális tüzérséget, hogy elmagyarázza, mi történt szoftvercégével. A múlt héten bekövetkezett, de csak most ismertté vált kibertámadás mintegy olyan, mint szeptember 11-e az iparában: "Saját gépeinket használták ellenünk" - mondta Abdulhayoglu "Wired". A Comodo informatikai biztonsági társaság vezetője, azon kevés szolgáltatók egyike között, akik a hálózat biztonsági struktúrájának egyik központi pillérét kezelik: tanúsítványokat, amelyekkel a weboldalak valódinak vallják magukat. Komodóban nagy tévedés történt, amely bizonyos körülmények között veszélyeztetheti az iráni disszidenseket, de az egész internet biztonságát is megkérdőjelezi.

A történéseket a következőképpen lehet a legegyszerűbben megmagyarázni: Egy vagy több ismeretlen hacker, akik úgy tűnik, hogy Iránból működnek, hamis internet-azonosítókat szereztek, amelyeket biztonsági tanúsítványoknak neveznek. Valójában arra szolgálnak, hogy a weboldalakat minden szörfös számára valóságosnak minősítsék.

Ezekkel a tanúsítványokkal lehetséges lett volna egy adott weboldalt bármely webböngészőnek megszemélyesíteni. A konkrét esetben például a Google (mail.google.com), a Yahoo (login.yahoo.com) vagy a Microsoft (login.live.com) e-mail szolgáltatásaként, mint a Voice-over-IP szolgáltatás Skype ( login.skype.com) vagy a Mozilla Firefox webböngészőjének kiterjesztési platformjaként (addons.mozilla.org).

A kommunikációs platformokat olyan trükkökkel lehetett volna hibázni, amelyeket csak a kormányzati szervezetek használhattak. A legrosszabb esetben a támadók rosszindulatú szoftvert csempészhettek a Firefox-felhasználók számítógépeire a Mozilla kiterjesztési szolgáltatásán keresztül. A hamis tanúsítványokat most visszahívták, és bárki, aki naprakészen tartja böngészőjét, nincs mitől tartania. A hálózati biztonság alapvető problémája azonban nem szűnik meg.

Az IP-cím szerint az Irántól ellopott hálózati személyi igazolványok tökéletes adathalász támadást tettek volna lehetővé, mintha: A gyanútlan felhasználók megtévesztően valóságos megjelenésű webhelyeken adták volna meg bejelentkezési adataikat és jelszavaikat, hisz biztonságos internetkapcsolattal rendelkeznek (a rövidítés felismeri). https a böngésző címsorában). Valójában azonban minden kommunikáció más szerveren ment volna keresztül. A támadó követhette vagy manipulálhatta az egész cserét - az érintett helyek elsősorban kommunikációs platformok.

Teljes, észrevétlen megfigyelés

Ennek eléréséhez azonban egy második trükkre lett volna szükség - és ez határozottan arra utal, hogy a támadás valójában egy állami szervezet fellépése volt.

A rész megértéséhez alapvető internetes ismeretekre van szüksége:

  • Ha egy böngésző egy bizonyos weboldalt akar megnyitni, akkor további információkra van szüksége: A domain név (pl. Www.spiegel.de) fordítása IP-címre (a Spiegel.de esetében: 195.71.11.67).
  • Ezt a fordítást a Domain Name System (DNS) végzi. A böngésző megkérdezi a világ számos DNS-szerverének egyikét, hogy melyik IP-szám tartozik ahhoz a domainnévhez, amelyet felhívni fog.
  • Bárki, aki rendelkezik az adott DNS-szerver felett, elvben megtévesztheti a böngészőt - és továbbíthatja azt egy általa választott, rossz IP-számra.

A kettő kombinációja erőteljes és veszélyes lenne: Az így megtévesztett böngésző, amelyen aztán hamisított web-azonosítót is bemutatnak, óhatatlanul hamis weboldalt tekintene valódinak. Gyakorlatilag lehetetlen, hogy a felhasználó felismerje, hogy becsapják. Nem mindenki fér hozzá a DNS-kiszolgálókhoz - de például az iráni hatóságok. Így átirányíthatja a szolgáltatások minden felhasználóját, például a Google-leveleket, a Yahoo-Mail-t vagy a Skype-ot a saját webhelyeire, és ott átadhatja a valódi ajánlat másolatát.

Aki bejelentkezett e-mail fiókjába, nem észlelt semmi szokatlant, és minden kommunikáció titokban a támadó szerverén keresztül folyt. Teljes, észrevétlen megfigyelés lenne az eredmény. Valószínűleg azonban csak az adott régióban - például a német felhasználók nem az iráni DNS-kiszolgálóktól szerzik be a DNS-adataikat.

Abdulhayoglu szerint a hamis tanúsítványok közül csak egyet használtak fel - a Yahoo! Maga Comodo úgy találta, hogy a támadók nyilvánvalóan megpróbálták, ismét egy iráni IP-címen keresztül.

Támadás a közvetítőn keresztül

Ezt a típusú támadást sokféle formában sok éve ismerik, általában "ember a középső támadásban" emlegetik. A közvetítő észrevétlenül vált egy ténylegesen titkosított kommunikáció küldője és címzettje között, és mindent elolvas, amit ott cserélnek.

A Comodo főnöke, Abdulhayoglu a következőt mondta: "Vezetékes": "Véleményem szerint valaki megpróbálja elolvasni az e-mail üzeneteket." Egy ilyen támadás csak akkor működhet nagy mértékben, "ha valaki hozzáfér a DNS-infrastruktúrához". A bizonyítványok "önmagukban használhatatlanok". Ami nem azt jelenti, hogy a Comodónak nincs hatalmas problémája. És ezzel együtt a teljes bizalmi alapú biztonsági tanúsítványrendszer.

A tanúsítványokat magától a Comodótól lopták el. A vállalat egyike a tucatnyi úgynevezett tanúsító hatóságnak, amelyek állítólag biztonságos internetes kapcsolatokhoz adnak ki ilyen internetes igazolványokat. A támadók másutt ellopott bejelentkezési adatokkal léptek be a Comodo rendszerbe, és ott nyilván teljesen legálisan szerezték meg a Google, a Yahoo, a Microsoft, a Skype és a Mozilla webhelyek tanúsítványait.

Pontosan erre nem lett volna szükség - mondja Thorsten Holz, a Bochumi Egyetem informatikai biztonsági szakembere. Miért nem kérdezte senki a Comodo-nál, hogy másutt nem adtak-e ki tanúsítványokat a Google, a Yahoo vagy a Microsoft webhelyeire? Holz: "Ez katasztrófa Comodo számára, a bizalom az üzleti modelljük." Aki tanúsítványt állít ki, végső soron biztosítja magáról, hogy az adott webhely valóban az, akinek állítja magát.

Őszinte brókerek nagy problémákkal

Bizonyos értelemben a tanúsítók az internet becsületes közvetítői. Eddig a webböngészők vakon bíztak a Comodóban: minden szörfözés programnak van egy úgynevezett gyökértanúsítványa, amely elmondja a böngészőnek, hogy a Comodo tanúsítványok hitelesek. Comodo pedig - magyarázza Holz - a világ bármely webhelyéhez kiadhat tanúsítványokat. Ugyanez vonatkozik más tanúsító hatóságokra, például az amerikai VeriSign vállalatra. Az egész nem utolsósorban üzleti modell, a hivatásos tanúsítók borsos díjakat szednek be.

Az összes hamisított tanúsítványt visszahívták. A Mozilla, a Google és a Microsoft frissítéssel készítette böngészőjét, hogy ne ismerje fel őket. De ez néhány napot igénybe vett - túl sokáig - vélekedik Jacob Appelbaum, informatikai biztonsági szakértő, egyetemi tanár és hacker, aki maga fedezte fel a folyamatokat saját nyomozói munkájával. Appelbaum korántsem idegen a helyszíntől - a TOR névtelenítő hálózatán dolgozik, és időnként a WikiLeaks szimpatizánsaként és segítőjeként jelenik meg. Most komoly vádakat fogalmaz meg a Comodo ellen, és egyúttal megkérdőjelezi a kölcsönös bizalmon alapuló teljes internetes tanúsítási rendszert.

"Több biztonsági ellenőrzésre van szükségünk"

Comodo végül visszahívta az igazolásokat, de ez túl későn történt, és hivatalos figyelmeztetést nem adtak ki. A legnehezebbnek azonban az a tény tűnik, hogy a visszahívás kezdetben látszólag csekély hatást fejtett ki. Valójában léteznek ilyen visszavont tanúsítványokkal rendelkező fekete listák, amelyeket automatikusan át kell adni a böngészőnek - de úgy tűnik, hogy ezek nem működnek megfelelően. Egyébként nem minden böngészőgyártónak kellett volna saját frissítéseket kiadnia a szörfös szoftveréhez. Holz informatikai kutató szerint ez rendkívül aggasztó: "Több biztonsági ellenőrzésre van szükségünk."

Jacob Appelbaum azt írta: "Ha a tényleges védelmi mechanizmusokat nem hajtják végre, akkor kevés a remény, hogy a felhasználókat valóban védeni fogják."

Hasonló támadások történtek újra és újra az Internet történetében. Például már 2001-ben valaki megszerzett két tanúsítványt a VeriSign-tól, amellyel átadhatta volna magát Microsoftnak. Abban az időben később további védelmi mechanizmusokat vezettek be - de úgy tűnik, hogy továbbra is hatalmas hiányosságok vannak. Még ez után is újra és újra felfedezték az SSL és a DNS rendszerek gyengeségeit.

Ezek egyike azzal a ténnyel jár, hogy a feltételezett bizalmi hálózat megbízhatatlan feleket is magában foglal. Az Electronic Frontier Foundation állampolgári jogi szervezet egy blogbejegyzésben bírálja a jelenlegi esetet: "Az olyan országok, mint az Egyesült Arab Emírségek és Tunézia ellenőrzik a tanúsító hatóságokat, és a múltban egyszerre veszélyeztették saját állampolgáraik számítógépes biztonságát. De ezek az államok a legfelső szintű DNS-domaineket is ellenőrzik (megjegyzés d.Red.: like .ae vagy .tn) ", és így maguk is ellenőrizhetnék az úgynevezett biztonságos DNS bejegyzéseket (DNSSEC) az EFF szerint. Ennek a DNSSEC rendszernek valójában lehetetlenné kell tennie az ilyen támadásokat.

Holz informatikai biztonsági szakértő a teljes tanúsítványrendszert felújításra szorulónak tartja: "A digitális világban jelenleg nehéz biztonságosan és hamis módon hitelesíteni önmagát."