TIETOTURVA
Ilari Sani, 7.10.2009, 11:48Nyt kuka vain voi esittää nettipankkia
Netissä levitetään väärennettyä sertifikaattia, jonka avulla hakkeri voi teeskennellä olevansa maksupalvelu PayPal. Huijaus toimii Internet Explorerissa sekä Chromen ja Safarin Windows-versioissa.
Käyttämällä väärennettyä sertifikaattia ja kuuntelemalla verkkoliikennettä hakkeri voi astua käyttäjän ja PayPal-sivuston väliin. Selain näyttää olevansa suorassa salatussa yhteydessä PayPaliin, mutta yhteys ohjataankin tosiasiassa hakkerin koneelle.
SSL-salausjärjestelmän sertifikaattien tarkoituksena on estää tällainen toisena palveluna esiintyminen. Tapaus on kova kolaus järjestelmän uskottavuudelle.
Taustalla Windowsin vika
Selaimet hyväksyvät väärennetyn sertifikaatin, koska Windowsin salauksesta vastaavassa CryptoAPI-rajapinnassa on vika joka tulkitsee sertifikaatin sisällön väärin.
Oletetaanpa esimerkiksi, että hakkeri omistaa domain-nimen example.com. Hän kykenee tällöin pyytämään sertifikaatteja myöntävältä turvayhtiöltä sertifikaatin mille tahansa osoittelle, joka päättyy example.com. Hakkerimme pyytää sen seuraavalle osoitteelle:
Osoitteessa on kenoviiva ja nolla, jotka C-ohjelmointikielessä merkitsevät loppua. Kun CryptoAPI kohtaa osoitteen, se lakkaa lukemasta näiden merkkien kohdalla. Äkkiä sertifikaatti näyttääkin kuuluvan osoitteelle paypal.com.
Kun hakkeri näyttää selaimelle tämän sertifikaatin, selain uskoo olevansa tekemisissä aidon PayPalin kanssa.
Korjausta ei vielä tiedossa
Hakkeri Moxie Marlinspike esitteli vikaa ensimmäisen kerran BlackHat-konferenssissa yhdeksän viikkoa sitten. Mozilla korjasi vian omasta Firefox-selaimestaan muutamassa päivässä, mutta Microsoft ei ole vielä reagoinut.
Vialta voi toistaiseksi suojautua vain käyttämällä Firefoxia, Operaa tai jotain muuta käyttöjärjestelmää kuin Windowsia. Vika saattaa myös koskea muita Windows-sovelluksia kuten sähköpostiohjelmia ja pikaviestimiä.
Muutenkin koko nettiä vaivaa nykyään uskottavuusongelma. Kukaan ei uskalla tehdä luottokorttiostoksia netissä tai näyttää olohuoneestansa valokuvia omilla kotisivuillaan. Jokainen meistä on täynnä nettivainoharhaa mutta kukaan ei tiedosta sitä.
Hei Ilari, perustelepa vielä millä perusteella tuo tietoturva-aukko rajoittuu vain paypal.com -sivustoon?
Jäi ainakin minulle hiukan epäselväksi.
Paypal.com on hieman huono esimerkki, koska se käyttää EV SSL sertifikaatteja. EV SSL sertifikaatit eivät ole haavoittuvia tälle hyökkäykselle. "The detailed attack will not work against EV SSL (as agreed by Mr. Marlinspike during the Q and A session after his talk)"
https://blogs.verisign.com/ssl-blog/2009/07/busy_day_at_black_hat.php
No nii kyllä on netti luotttava joo!
