Vdor v indijski NIC na splet poslal lažne certifikate

Matej Huš

11. jul 2014 ob 11:24:02

Ponavlja se zgodba, ki se je DigiNotarju zgodila leta 2011, le da z novimi igralci. Neznani napadalci so pridobili dostop do NIC (National Informatics Centre), ki deluje pod okriljem indijskega CCA (Controller of Certifying Authorities), in izdali vsaj štiri lažne certifikate za Google in Yahoo, kar je povzročilo precej težav zlasti uporabnikom operacijskega sistema Windows in brskalnika Internet Explorer.

CCA sicer trdi, da so lažni certifikati le štirje, a Googlov Adam Langley trdi, da imajo dokaze o večjem številu izdanih lažnih certifikatov. CCA je sicer takoj razveljavila vse certifikate, ki jih je izdal NIC, a uvrstitev na listo neveljavnih (revocation list) ni stoodstotna rešitev.

Windows in IE sta posebej prizadeta, ker je CCA uvrščen v Microsoftov Root Store kot zaupanja vreden izdajatelj certifikatov, kar avtomatično pomeni tudi NIC. Drugi operacijski sistemi niso prizadeti, prav tako so na Windows drugi brskalniki varni, ker uporabljajo druge sezname zaupanja vrednih izdajateljev. Vseeno je Chrome posodobil vgrajeno listo razveljavljenih certifikatov, tako da vključuje tudi CCA.

Hitro se je odzval tudi Microsoft, ki se je odločil za srednjo pot. Niso v celoti odstranili CCA-ja, kar bi lahko povzročilo težave, ampak so blokirali 45 sumljivih certifikatov. Ker so ranljive vse verzije Windows, je treba posodobitev namestiti na vseh od Windows Viste dalje. (Pa imamo še en razlog, da res upokojimo Windows XP.) Posodobitev dodaja preklic teh certifikatov neposredno v Windows, tako da hekerji ne bodo mogli obiti spletnega preverjanja, ali je uporabljeni certifikat na seznamu preklicanih. Toda ker se Microsoft ni odločil za preklic vseh certifikatov iz CCA-ja, to pomeni, da so teoretično na spletu še lahko kakšni lažni certifikati, ki (še) niso preklicani.

Tovrstni incidenti kažejo, da je trenutno sistem potrjevanja, izdajanja in overjanja certifikatov zastarel, saj lahko zaupanja vreden CA izda certifikat za katerokoli stran.