szukaj

08.02.2012 | 09:44

avatar

Adam Haertle

Trustwave wydał certyfikat umozliwiający ataki man-in-the-middle

Urząd certyfikacji Trustwave przyznał, że wydał komercyjnej firmie certyfikat umożliwiający jej wystawienie prawidłowych certyfikatów SSL dla dowolnego serwera w sieci.

Certyfikat podrzędnego urzędu certyfikacji został wydany w celu zainstalowania w rozwiązaniu zapobiegającemu wyciekowi danych (DLP) i był używany przez korporacyjny system do podsłuchiwania całego ruchu HTTPS wychodzącego z i przychodzącego do firmy. System ten, oparty o SSL proxy, generował w czasie rzeczywistym zaufane certyfikaty SSL dla wszystkich witryn odwiedzanych przez użytkowników w sieci firmy, aby móc analizować przesyłany przez nich ruch. Dzięki temu, iż podstawione certyfikaty pochodziły od zaufanego urzędu certyfikacji, nie generowały one błędów w przeglądarkach (wszystkie ważniejsze przeglądarki ufają Trustwave).

Sam certyfikat umieszczony był w zabezpieczonym kryptoprocesorze (HSM), uniemożliwiającym jego wydobycie i zastosowanie do innych celów. Przed wystawieniem tego szczególnego certyfikatu Trustwave wykonało audyt zabezpieczeń klienta oraz podpisało z nim osobną umowę. Mimo wprowadzonych zabezpieczeń Trustwave uznał jednak po jakimś czasie, iż wydawanie tego typu certyfikatów klientom komercyjnym nie jest najlepszą praktyką i certyfikat odwołał. Oznajmił również, iż nie będzie takich certyfikatów wystawiał w przyszłości.

Nie jest tajemnicą, iż certyfikaty podrzędnego urzędu certyfikacji umożliwiające wystawianie dowolnych prawidłowych certyfikatów są kupowane przez rządy, organy ścigania czy dostawców internetowych w celu analizy ruchu. Był to jednak pierwszy potwierdzony przypadek, gdy tego typu certyfikat został wydany organizacji spoza tego uprzywilejowanego grona.

Rozwiązania DLP, stosowane w korporacjach, często korzystają z funkcjonalności SSL proxy, jednak jest on implementowana w inny sposób. Zamiast generować certyfikaty domyślanie zaufane przez przeglądarki, system oparty jest o własne centrum certyfikacji. Wymaga to wymuszenia zaufania dla tego nowego centrum certyfikacji we wszystkich przeglądarkach używanych w firmie. Minusem tego rozwiązania jest ograniczenie jego funkcjonowania jedynie do urządzeń kontrolowanych przez firmę. W przypadku, gdy pracownik korzysta w sieci firmowej z własnego urządzenia, jego przeglądarka zgłosi błąd certyfikatu.

Powrót

Komentarze

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Trustwave wydał certyfikat umozliwiający ataki man-in-the-middle

Komentarze