Atac cibernetic din Iran Hackerii atacă bazele internetului - DER SPIEGEL

atac

Spioni pe internet: serviciul secret al Iranului încearcă să citească e-mailurile?

Melih Abdulhayoglu a scos cea mai grea artilerie verbală pentru a explica ce s-a întâmplat cu compania sa de software. Un atac cibernetic care a avut loc săptămâna trecută, dar abia acum a devenit cunoscut, este ceva de genul 11 ​​septembrie în industria sa: „Avioanele noastre au fost folosite împotriva noastră”, a spus Abdulhayoglu „Wired”. El este șeful companiei de securitate IT Comodo, unul dintre puținii furnizori de servicii care gestionează unul dintre pilonii centrali ai structurii de securitate a rețelei: certificate cu care site-urile web se identifică ca fiind autentice. A avut loc o greșeală capitală la Comodo, care, în anumite circumstanțe, ar putea pune în pericol disidenții din Iran, dar pune, de asemenea, la îndoială securitatea internetului în ansamblu.

Cel mai simplu mod de a explica ce s-a întâmplat este următorul: Unul sau mai mulți hackeri necunoscuți care par să opereze din Iran au obținut ID-uri de Internet false, cunoscute sub numele de certificate de securitate. De fapt, acestea servesc la clasificarea site-urilor web ca fiind reale pentru fiecare surfer.

Cu aceste certificate ar fi fost posibil să identificați un anumit site web pentru orice browser web. În cazul specific, de exemplu, ca serviciu de e-mail de la Google (mail.google.com), Yahoo (login.yahoo.com) sau Microsoft (login.live.com), ca serviciul Voice-over-IP Skype ( login.skype.com) sau ca platformă de extensie pentru browserul web Mozilla Firefox (addons.mozilla.org).

Platformele de comunicare ar fi putut fi confundate cu alte trucuri pe care doar organizațiile guvernamentale le-ar fi putut folosi. În cel mai rău caz, atacatorii ar fi putut contrabanda software rău intenționat pe computerele utilizatorilor Firefox prin intermediul serviciului de extensie Mozilla. Certificatele falsificate au fost acum reamintite și oricine își ține browserul la zi nu are de ce să se teamă. Cu toate acestea, problema de bază a securității rețelei nu este eliminată.

Potrivit adresei IP, cărțile de identificare ale rețelei furate din Iran ar fi făcut posibil un atac perfect de phishing: utilizatorii nebănuși și-ar fi introdus datele de conectare și parolele pe site-uri web înșelătoare, crezând că au o conexiune securizată la internet (recunoscută prin abrevierea https în bara de adrese a browserului). Cu toate acestea, într-adevăr, orice comunicare ar fi trecut printr-un server diferit. Atacatorul ar fi putut urmări sau manipula întregul schimb - site-urile afectate sunt în primul rând platforme de comunicare.

Supraveghere totală, neobservată

Pentru a realiza acest lucru, totuși, ar fi fost necesar un al doilea truc - și asta sugerează cu tărie că atacul a fost de fapt acțiunea unei organizații de stat.

Pentru a înțelege această parte, aveți nevoie de câteva cunoștințe de bază despre internet:

  • Dacă un browser trebuie să deschidă un anumit site web, are nevoie de informații suplimentare: traducerea numelui de domeniu (de exemplu, www.spiegel.de) într-o adresă IP (în cazul Spiegel.de: 195.71.11.67).
  • Această traducere este realizată de sistemul de nume de domeniu (DNS). Browserul întreabă unul dintre numeroasele servere DNS distribuite în întreaga lume care este numărul IP care aparține numelui de domeniu pe care urmează să îl apeleze.
  • Oricine are controlul asupra respectivului server DNS ar putea, în principiu, să inducă în eroare browserul - și să îl redirecționeze către un număr de IP greșit efectiv la alegere.

O combinație a celor două ar fi puternică și periculoasă: un browser indus în eroare în acest fel, căruia i se arată apoi și un ID web falsificat, ar considera inevitabil că o pagină web falsă este autentică. Ar fi practic imposibil ca utilizatorul să recunoască faptul că este păcălit. Nu toată lumea are acces la serverele DNS - dar autoritățile iraniene, de exemplu. Așadar, puteți redirecționa toți utilizatorii de servicii precum Googlemail, Yahoo-Mail sau Skype către propriul dvs. site web și puteți furniza o copie a ofertei reale acolo.

Oricine s-a conectat la contul de e-mail nu va observa nimic neobișnuit și toate comunicările vor rula în secret pe serverul atacatorului. Rezultatul ar fi o supraveghere totală, neobservată. Cu toate acestea, probabil doar în regiunea respectivă - utilizatorii germani, de exemplu, nu își obțin informațiile DNS de la serverele DNS iraniene.

Potrivit lui Abdulhayoglu, doar unul dintre certificatele falsificate a fost de fapt folosit - cel pentru Yahoo. Comodo însuși a constatat că atacatorii au încercat-o, din nou, printr-o adresă IP iraniană.

Atacă prin intermediar

Acest tip de atac este cunoscut sub diferite forme de mai mulți ani; este denumit în mod obișnuit „atacul omului din mijloc”. Intermediarul trece neobservat între expeditor și destinatar al unei comunicări efectiv criptate și citește tot ce se schimbă acolo.

Șeful Comodo, Abdulhayoglu, a spus „Wired”: „În opinia mea, cineva încearcă să citească comunicările prin e-mail”. Un astfel de atac poate funcționa la scară largă „doar dacă cineva are acces la infrastructura DNS”. Certificatele sunt „în sine inutile”. Ceea ce nu înseamnă că Comodo nu are o problemă uriașă. Și odată cu acesta întregul sistem de certificate de securitate bazat pe încredere.

Certificatele au fost furate chiar de la Comodo. Compania este una dintre zecile așa-numitelor autorități de certificare care emit astfel de cărți de identitate pe Internet pentru conexiuni presupuse securizate la internet. Atacatorii s-au conectat la sistemul Comodo cu date de conectare care fuseseră furate în altă parte și acolo, aparent complet legal, au achiziționat certificatele pentru site-urile Google, Yahoo, Microsoft, Skype și Mozilla.

Exact asta, spune Thorsten Holz, specialist în securitate IT de la Universitatea din Bochum, nu ar fi trebuit să se întâmple niciodată. De ce nimeni de la Comodo nu a întrebat dacă certificatele pentru site-urile Google, Yahoo sau Microsoft nu au fost deja eliberate în altă parte? Holz: „Este o catastrofă pentru Comodo, încrederea este modelul lor de afaceri”. Oricine emite un certificat se asigură în cele din urmă că site-ul respectiv este cu adevărat cine pretinde că este.

Brokeri cinstiți cu mari probleme

Certificatorii sunt într-un fel brokerii cinstiți ai internetului. Browserele web au avut până acum încredere orbește în Comodo: fiecare program de navigare are așa-numitul certificat rădăcină inoculat, care îi spune browserului că certificatele Comodo sunt credibile. Iar Comodo, explică Holz, poate emite certificate pentru orice site web din lume. Același lucru este valabil și pentru alte autorități de certificare, cum ar fi compania americană VeriSign. Întregul lucru nu este în ultimul rând un model de afaceri; certificatorii profesioniști încasează taxe mari.

Toate certificatele falsificate au fost acum retrase. Mozilla, Google și Microsoft și-au creat browserele cu actualizări pentru a nu le mai recunoaște. Dar asta a durat câteva zile - mult prea mult, crede Jacob Appelbaum, expert în securitate IT, profesor universitar și hacker care a descoperit el însuși procesele cu propria sa muncă de detectiv. Appelbaum nu este deloc străin de scenă - lucrează la rețeaua de anonimizare TOR și apare ocazional ca un simpatizant și ajutor al WikiLeaks. Acum face acuzații serioase împotriva Comodo și, în același timp, pune la îndoială întregul sistem de certificare bazat pe încredere al internetului.

„Avem nevoie de mai multe controale de securitate”

Comodo a reamintit în cele din urmă certificatele, dar acest lucru sa întâmplat prea târziu și nu a fost emis niciun avertisment oficial. Totuși, cel mai dificil pare a fi faptul că amintirea aparent a avut inițial un efect redus. De fapt, există liste negre cu astfel de certificate retrase care ar trebui transmise automat browserului - dar care nu pare să funcționeze corect. În caz contrar, nu toți producătorii de browsere ar fi trebuit să emită propriile actualizări pentru software-ul de navigare. Cercetătorul IT Holz consideră că acest lucru este extrem de îngrijorător: „Avem nevoie de mai multe controale de securitate”.

Jacob Appelbaum a scris: „Dacă mecanismele de protecție efective nu sunt puse în aplicare, există puține speranțe că utilizatorii vor fi efectiv protejați”.

Atacuri similare s-au produs de nenumărate ori în istoria internetului. Încă din 2001, de exemplu, cineva a achiziționat două certificate de la VeriSign cu care s-ar fi putut preface că sunt Microsoft. La acea vreme, au fost ulterior introduse mecanisme de protecție suplimentare - dar par să existe încă lacune uriașe. Chiar și după acest caz, slăbiciunile din sistemele SSL și DNS au fost descoperite din nou și din nou.

Unul dintre ele are legătură cu faptul că presupusa rețea de încredere include și părți care nu sunt de încredere. Organizația pentru drepturile civile Electronic Frontier Foundation critică cazul actual într-o intrare pe blog: „Țări precum Emiratele Arabe Unite și Tunisia controlează autoritățile de certificare și, în trecut, au compromis securitatea computerelor propriilor cetățeni în același timp. Dar aceste state controlează și domeniile DNS de nivel superior (nota d.Red.: cum ar fi .ae sau .tn) "și ar putea astfel controla așa-numitele intrări DNS sigure (DNSSEC), conform EFF. Acest sistem DNSSEC ar trebui să facă de fapt astfel de atacuri imposibile.

Expertul în securitate IT Holz consideră că întregul sistem de certificate trebuie renovat: „În lumea digitală, în prezent este dificil să te autentifici în siguranță și într-un mod care nu poate fi falsificat”.