Ty też mogłeś dostać swój własny certyfikat SSL dla domeny Microsoftu

dodał 18 marca 2015 o 21:16 w kategorii Wpadki  z tagami:
Ty też mogłeś dostać swój własny certyfikat SSL dla domeny Microsoftu

Zwykły użytkownik bez problemów otrzymał certyfikat SSL ważnej domeny, dzięki któremu mógłby przeprowadzać ataki typu MiTM. A to wszystko dzięki niedopatrzeniu pracowników Microsoftu i luźnym regułom weryfikacji posiadaczy certyfikatów.

Dwa dni temu Microsoft wydał biuletyn bezpieczeństwa w którym poinformował o omyłkowym wydaniu certyfikatu SSL swojej domeny nieuprawnionemu użytkownikowi. Sprytny internauta nie musiał hakować wystawcy certyfikatów – po prostu odpowiednio poprosił.

Od skrzynki do certyfikatu

Proces zakupu certyfikatu SSL dla własnej domeny został przez wiele firm uproszczony w tak dużym stopniu, że nie bierze już w nim udziału żaden człowiek – oprócz kupującego. To uproszczenie spowodowało, że posiadaczem certyfikatu domeny live.fi, obsługującej w Finlandii elementy procesu uwierzytelnienia użytkownika wszystkich usług Microsoftu został pewien przedsiębiorczy Fin.

Aby zakupić certyfikat u jednego z największych ich wystawców, w firmie Comodo, wystarczy spełnić kilka prostych warunków. Trzeba zamówić usługę, zapłacić i zweryfikować swoją tożsamość za pomocą jednej z kilku dostępnych metod. Można stworzyć odpowiedni rekord DNS, wgrać na serwer odpowiedni plik lub posiadać dostęp do skrzynki pocztowej o jednym z następujących loginów: admin, administrator, postmaster, hostmaster lub webmaster. Po wybraniu uwierzytelnienia drogą poczty elektronicznej pozostaje już tylko czekać na odpowiednią wiadomość i kliknąć w znajdujący się w niej link, by chwilę potem otrzymać swój podpisany certyfikat. Comodo nie jest tutaj wyjątkiem – podobny proces stosuje większość wystawców certyfikatów SSL. Dopiero uzyskanie certyfikatu typu „premium” wymaga okazania dokumentów firmy.

Pewien anonimowy Fin z własnej ciekawości postanowił sprawdzić, czy w serwisie Microsoftu będzie mógł założyć konto pocztowe z loginem wymienionym powyżej. Skorzystał z funkcji aliasów i z zaskoczeniem stwierdził, że otrzymał dostęp do konta hostmaster@live.fi. Postanowił pociągnąć test dalej i wystąpił do Comodo o certyfikat SSL – i go otrzymał. Następnie zawiadomił lokalnego regulatora rynku (nie wiemy, po co) oraz bliżej niesprecyzowane osoby w Microsofcie. Ani od jednych, ani od drugich nie otrzymał przez wiele tygodni żadnej odpowiedzi. Pewnego dnia jednak ktoś w Microsofcie się obudził i zablokował jego konto, wyłączając możliwość korzystania z telefonu, Xboxa oraz służbowej poczty. Taką cenę za swój sukces płacą eksperymentatorzy.

Certyfikaty Comodo

Certyfikaty Comodo

A mógł atakować

Microsoft powinien podziękować Finowi nie tylko za wskazanie błędu, ale także za to, że nie skorzystał ze zdobytego przez siebie certyfikatu do niecnych celów. Z jego pomocą prawdopodobnie mógł udawać witrynę logowania Microsoftu w sposób niezauważalny dla użytkowników, siejąc sporo zamieszania. Niektóre przeglądarki chronią wybrane domeny przed podobnymi atakami dzięki mechanizmowi certificate pinning (Chrome zna na pamięć np. certyfikaty Google, Firefox zna Google, Twittera czy Dropboksa), jednak Internet Explorer nie ma takiej funkcji (trzeba dodatkowo instalować EMETa by ją zapewnić). Atak mógł zatem być skuteczny w przypadku wszystkich przeglądarek.

Powyższy przykład pokazuje, jak mało bezpieczny jest mechanizm wydawania certyfikatów SSL. Nie trzeba wcale włamywać się do wystawców, by skompromitować zabezpieczenia. Jest mało prawdopodobne, by wystawcy zmienili mechanizmy uwierzytelnienia klientów – automatyczny proces jest wygodny i tani w obsłudze. Odpowiedzialność za utrzymanie bezpieczeństwa leży zatem po stronie właścicieli domen i w listach zakazanych loginów.

Jeśli uda się Wam założyć konto admin, administrator, postmaster, hostmaster lub webmaster w cudzym serwisie, to bądźcie tacy uprzejmi i powiadomcie o tym fakcie właściciela – a potem możecie się pochwalić nam.