מחדל תעודות האבטחה של DigiNotar

גורם זדוני שפרץ ל-DigiNotar אחראי לפרשה שהסעירה את הרשת ויכלה להסתיים הרבה יותר גרוע. במשך מספר שעות, חשבו משתמשים רבים שהם מאובטחים באמצעות תעודות אבטחה חסרות כל ערך

פרשת DigiNotar נפתחה לפני מספר שבועות, כאשר התגלה שאחת מחברות האבטחה המספקת תעודות אבטחה (Certificates) בחרה שלא להזהיר את הציבור כי מערכותיה נפרצו וכי בידי הפורצים מאות תעודות מזויפות. כעת ממשיכה הפרשה להסתעף ולשטוף בסערה את עולם אבטחת המידע שבו עתיד חיבור האינטרנט המאובטח עומד למבחן.

קצת סדר

פרשת DigiNotar נפתחה כאשר גורם זדוני הצליח לפרוץ לתוך מערכת ייצור תעודות האבטחה של החברה בהולנד. במסגרת הפריצה, אותו גורם הנפיק לעצמו תעודות בכמויות גדולות. עם חשיפת הפרשה הכחישה DigiNotar את היקף הנזק שנגרם וטענה כי מדובר בגניבה של תעודות בודדות. רק בשלב מאוחר יותר נחשף כי הגורם שעמד מאחורי הפריצה הצליח להנפיק לעצמו מעל 500 תעודות, חלקם לשירותי גוגל (כמו שירות הדואר ג’ימייל), אשר בעזרתם הוא יוכל לנסות לבצע תקיפות מסוג Man-in-the-middle או Spear Phishing ממוקדות.

חשוב להבין, שעם התעודות שנגנבו יכול אותו גורם לייצר, למשל, אתר שנראה זהה לדף הלוגאין של שירות ג’ימייל. כדי להוסיף לדף הזה אמינות, הוא יכול כעת להוסיף תעודת אבטחה כזאת לאתר המזויף, וזו תגרום לדפדפן של מי שגולש לשם לחשוב שמדובר בשירות מאובטח של גוגל, ולציין על-גבי הדפדפן כי החיבור מאובטח. אם המשתמש יבדוק את תעודת האבטחה, הוא יראה שאכן מדובר בתעודת אבטחה לשירות ג’ימייל של גוגל, שנחתמה על-ידי DigiNotar. לאחר שאותו גולש יכניס את פרטי שם המשתמש שלו והסיסמא הם יועברו אוטומטית לידי אותו גורם זדוני, ואילו הגולש יראה על המסך הודעת שגיאה או כל דבר אחר, כי אחרי הכל, לאחר שהגולש לחץ על הכפתור לשליחת המידע, המידע כבר הועבר לגורם הזדוני ואין יותר צורך באתר המזויף.

אובדן אמון

הפרשה ההולנדית משפיעה על עולם אבטחת המידע באינטרנט

היות וחברת DigiNotar לא הזהירה את הציבור מיידית כי אין לבטוח עד להודעה חדשה בתעודות החתומות שלה, נוצר פרק זמן בו הציבור לא היה מוגן או מדווח על בעיית האבטחה. יש לציין שהתנהגות מסוג זה אינה עומדת בקנה אחד עם האחריות הציבורית של חברת אבטחה המייצרת תעודות שכאלה, ולכן גורמים מרכזיים בתעשייה פעלו כדי לשלול מעתה ועד עולם את כל התעודות של DigiNotar.

הראשונה לפעול היתה מוזילה. מוזילה שיחררה עדכוני אבטחה למוצרים בהם היא מוציאה את DigiNotar מרשימת הגורמים שהיא סומכת על התעודות שלהם. מיקרוסופט התעכבה במשלוח עדכון במסגרת patch-Tuesday, ואחד הדברים היותר מוזרים היתה הסכמתה של רדמונד לבקשת ממשלת הולנד כי מיקרוסופט לא תשלח עדכון על DigiNotar למחשבים המריצים את מערכת ההפעלה חלונות ונמצאים בהולנד, אלא רק כעבור שבוע. יהיו השיקולים של ממשלת הולנד אשר יהיו (אולי הם רצו להמנע מאובדן יכולת תקשורת מאובטחת עם ספקים, גורמי מס וכו’), אך אזהרת הציבור אמורה להיות קודמת לשיקולים שכאלה. בנוסף, התפרסמו דיווחים כי גם מחשבים שאינם נמצאים בהולנד לא קיבלו את עדכון האבטחה של מיקרוסופט, מה שמעיד על כך שהחברה לא דאגה לסגור את הפרצה בחומה מהר מספיק.

משתמשי ספארי נשארו מאחור

גורם מסחרי גודל נוסף שהתעכב, אפילו יותר ממיקרוסופט, היא חברת אפל. אפל, המייצרת ומתחזקת את הדפדפן ספארי התעכבה ונמנעה מלשחרר עדכון אבטחה לספארי, למרות הפצרות של גורמים רבים בתחום. רק לאחר זמן רב זכו משתמשי ספארי בעדכון הנדרש. עד להתקנת העדכון בדפדפנים שלהם, כל משתמשי ספארי שהיו גולשים לאתר שחתום עם תעודה מאובטחת של DigiNotar חשבו שהם נמצאים באתר עם חיבור מאובטח, בעוד שבפועל זה לא בהכרח היה המצב.

לפרשת DigiNotar צפויות להיות השלכות רבות על עולם אבטחת המידע. כעת נעשה בדק בית בקרב עוד חברות המנפיקות תעודות מאובטחות והתגלה כי יתכן וחתמים נוספים נפרצו ולא היו מודעים לכך. הנושא כמובן בבדיקה של הגורמים הרלוונטיים, וטענות של האקר כי הוא עומד מאחורי הפריצות הללו, וכי הוא פרץ לכמות נכבדת של חברות כמו DigiNotar רק מדגישה את חשיבות האבטחה גם בחברות הללו, ואת האחריות הציבורית שלהן ברגע שהן מזהות פגיעה.

Avatar

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

4 תגובות על "מחדל תעודות האבטחה של DigiNotar"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
סקעעג
Guest

השמועות אומרות שמדובר בממשלת איראן, ששילמה לפורצים חיצוניים, והפעילה גם פורצים משלה, והשתמשה בתעודות של DigiNotar נגד אזרחיה, כדי לאתר גורמים עויינים לשלטון.

איציק
Guest

סקעעג. מאיפה אתה שואב את המידע?

דודו
Guest

איציק, נסה את גוגל… אבל תזהר מ MITM

דודו
Guest

איציק, נסה את גוגל… אבל תזהר מ MITM

wpDiscuz

תגיות לכתבה: