Сајбер напад од Иран Хакери ги напаѓаат темелите на Интернет - ДЕР Шпигел

напад

Интернет шпиони: Иранската тајна служба се обидува да чита е-пошта?

Мелих Абдулхајоглу ја изнесе најтешката вербална артилерија за да објасни што се случило со неговата софтверска компанија. Сајбер напад што се случи минатата недела, но кој сега стана познат, е нешто како 11-ти септември во нејзината индустрија: „Нашите сопствени авиони беа користени против нас“, рече Абдулхајоглу „Wired“. Тој е шеф на ИТ безбедносната компанија „Комодо“, еден од ретките даватели на услуги кои управуваат со еден од централните столбови на безбедносната структура на мрежата: сертификати со кои веб-страниците се идентификуваат како оригинални. Во Комодо се случи голема грешка што може да ги загрози неистомислениците во Иран, но исто така ја доведува во прашање безбедноста на Интернет како целина.

Најлесен начин да објасните што се случило е како што следува: Еден или повеќе непознати хакери кои се чини дека работат од Иран, добиле лажни интернет-лични карти, познати како безбедносни сертификати. Тие всушност служат за класифицирање на веб-страниците како реални за секој сурфер.

Со овие сертификати ќе беше можно да се имитира одредена веб-страница на кој било веб прелистувач. Во конкретниот случај, на пример, како услуга за е-пошта од Google (mail.google.com), Yahoo (login.yahoo.com) или Microsoft (login.live.com), како Voice-over-IP услуга Skype ( login.skype.com) или како платформа за проширување на веб-прелистувачот Firefox на Mozilla (addons.mozilla.org).

Комуникациските платформи можеа да бидат грешки со други трикови што можеа да ги користат само владините организации. Во најлошо сценарио, напаѓачите можеле да прошверцуваат малициозен софтвер на компјутерите на корисниците на Firefox преку услугата за проширување на Mozilla. Фалсификуваните сертификати сега се повлечени и секој што го одржува својот ажуриран прелистувач нема од што да се плаши. Основниот проблем на мрежната безбедност, сепак, не е елиминиран.

Според IP-адресата, мрежните лични карти украдени од Иран би овозможиле совршен напад на фишинг, како што беше: Несудените корисници ќе ги внесуваа своите податоци за најавување и лозинки на веб-страници со измамен реален изглед, верувајќи дека имаат безбедна интернет-врска (признаена со кратенката https во лентата за адреси на прелистувачот). За волја на вистината, сепак, целата комуникација ќе поминеше преку друг сервер. Напаѓачот можеше да ја следи или манипулира целата размена - погодените страници се првенствено комуникациски платформи.

Тотален, незабележан надзор

За да се постигне ова, сепак, ќе беше потребен втор трик - и тоа силно сугерира дека нападот е всушност акција на државна организација.

За да го разберете овој дел, ви треба основно познавање на Интернет:

  • Доколку прелистувач треба да отвори одредена веб-страница, потребни му се дополнителни информации: Преводот на името на доменот (на пр. Www.spiegel.de) на IP адреса (во случајот на Spiegel.de: 195.71.11.67).
  • Овој превод го прави системот за име на домен (DNS). Прелистувачот прашува еден од многуте DNS сервери ширум светот кој IP број му припаѓа на името на доменот што треба да го повика.
  • Секој што има контрола над соодветниот ДНС-сервер во принцип може да го доведе во заблуда прелистувачот - и да го проследи до навистина погрешен IP-број по негов избор.

Комбинацијата од двете ќе биде моќна и опасна: Прелистувач на овој начин доведен во заблуда, на кој потоа се прикажува и фалсификувана веб-идентификација, неизбежно ќе смета дека лажната веб-страница е оригинална. Би било практично невозможно корисникот да препознае дека е измамен. Не секој има пристап до DNS серверите - но иранските власти, на пример. Така, можете да ги пренасочите сите корисници на услуги како Googlemail, Yahoo-Mail или Skype на вашата веб-страница и да обезбедите копија од вистинската понуда таму.

Секој што се најавувал на својата сметка за е-пошта, не би забележал ништо невообичаено и целата комуникација би се одвивала тајно преку серверот на напаѓачот. Тотален, незабележан надзор би бил резултатот. Сепак, веројатно само во соодветниот регион - германските корисници, на пример, не ги добиваат своите информации за ДНС од иранските ДНС-сервери.

Според Абдулхајоглу, само еден од фалсификуваните сертификати е всушност искористен - тој за Јаху. Самиот Комодо открил дека напаѓачите очигледно го испробале тоа, повторно преку Иранска ИП-адреса.

Напад преку посредникот

Овој вид на напад е познат во различни форми многу години; тој обично се нарекува „човек во средниот напад“. Средникот се менува незабележано помеѓу испраќачот и примачот на всушност шифрирана комуникација и чита сè што се разменува таму.

Шефот на Комодо, Абдулхајоглу, за „Wired“ изјави: „Според мене, некој се обидува да прочита електронска комуникација“. Таквиот напад може да работи само во големи размери "ако некој има пристап до инфраструктурата на ДНС". Сертификатите се „само по себе бескорисни“. Што не значи дека Комодо нема огромен проблем. А со тоа и целиот систем на безбедносни сертификати базирани на доверба.

Сертификатите се украдени од самиот Комодо.Компанијата е една од десетиците т.н. Овластени сертификати кои издаваат вакви Интернет лични карти за наводно безбедни Интернет врски. Напаѓачите влегоа во системот Комодо со податоци за најавување што беа украдени на друго место и таму, очигледно целосно легално, ги стекнаа сертификатите за страниците на Гугл, Јаху, Мајкрософт, Скајп и Мозила.

Токму тоа, никогаш не требаше да се случи, вели Торстен Холц, специјалист по ИТ безбедност од Универзитетот во Бохум. Зошто никој во Комодо не праша дали сертификатите за страниците на Гугл, Јаху или Мајкрософт не биле издадени на друго место? Холц: „Тоа е катастрофа за Комодо, довербата е нивниот деловен модел“. Секој што издава сертификат, на крајот се уверува себеси дека веб-страницата за која станува збор е навистина таа за која тврди дека е.

Искрени брокери со големи проблеми

Во извесна смисла, сертификаторите се чесни брокери на Интернет. Веб-прелистувачите досега слепо му веруваа на Comodo: секоја програма за сурфање има таканаречен сертификат за root инокулиран во него, што му кажува на прелистувачот дека сертификатите на Comodo се веродостојни. И Комодо, објаснува Холц, може да издаде сертификати за која било веб-страница во светот. Истото важи и за други органи за сертификација како што е американската компанија VeriSign. Целата работа не е најмалку деловен модел; професионалните сертификатори собираат огромни такси.

Сите фалсификувани сертификати сега се повлечени. Mozilla, Google и Microsoft ги направија своите прелистувачи со ажурирања за повеќе да не ги препознаваат. Но, тоа траеше неколку дена - премногу долго, верува believesејкоб Апелбаум, експерт за ИТ безбедност, универзитетски професор и хакер, кој самиот ги откри процесите со своја детективска работа. Апелбаум во никој случај не е странец на сцената - работи на мрежата за анонимизација ТОР и повремено се појавува како симпатизер и помагател на Викиликс. Сега тој упатува сериозни обвинувања против Комодо и истовремено го доведува во прашање целиот систем за сертифицирање на Интернет заснован на взаемна доверба.

„Потребни ни се повеќе безбедносни проверки“

Комодо на крајот ги отповика сертификатите, но тоа се случи предоцна и не беше издадено официјално предупредување. Сепак, најтешко се чини дека е фактот што повлекувањето очигледно првично имаше мал ефект. Всушност, постојат црни листи со такви повлечени сертификати што треба автоматски да се пренесат на прелистувачот - но тоа не чини да работи правилно. Инаку, не сите производители на прелистувачи требаше да издадат свои ажурирања за нивниот софтвер за сурфање. ИТ истражувачот Холц смета дека ова е крајно загрижувачко: „Потребни ни се повеќе безбедносни проверки“.

Obејкоб Апелбаум напиша: „Ако не се спроведат вистинските механизми за заштита, постои мала надеж дека корисниците навистина ќе бидат заштитени“.

Слични напади се случија повеќе пати во историјата на Интернет. Веќе во 2001 година, на пример, некој се стекна со два сертификати од VeriSign со кои можеше да се помине како Мајкрософт. Во тоа време, последователно беа воведени дополнителни заштитни механизми - но се чини дека сè уште има огромни празнини. Дури и по овој случај, слабостите во SSL и DNS системите беа откриени повторно и повторно.

Една од нив има врска со фактот дека наводната мрежа за доверба исто така вклучува и партии кои не се доверливи. Организацијата за граѓански права Electronic Frontier Foundation го критикува тековниот случај во блогот: „Земји како Обединетите Арапски Емирати и Тунис ги контролираат органите за сертификација и во минатото истовремено ја компромитираа компјутерската безбедност на сопствените граѓани. Но, овие држави контролираат и највисоки домени на ДНС (забелешка d.Red.: како .ae или .tn) "и на тој начин може да ги контролира таканаречените безбедни записи на DNS (DNSSEC), според ЕФФ. Овој систем DNSSEC всушност треба да ги направи ваквите напади невозможни.

Експертот за информатичка безбедност Холц смета дека целиот систем на сертификати има потреба од обнова: „Во дигиталниот свет, во моментов е тешко да се автентицирате безбедно и на начин што не може да се фалсификува“.