Ljudi u krugovima posvećenima internetskoj sigurnosti upozoravaju na izdavanje tri certifikata TLS za 1.1.1.1, široko korištenu DNS uslugu mreže za isporuku sadržaja Cloudflare i internetskog registra Asia Pacific Network Information Centre (APNIC).

Certifikate, izdane u svibnju, moguće je koristiti za dešifriranje upita vezanih uz pretraživanje domena šifriranih putem DNS-a preko HTTPS-a ili DNS-a preko TLS-a. Oba protokola pružaju enkripciju od pošiljatelja do primatelja kada uređaji krajnjih korisnika traže IP adresu određene domene kojoj žele pristupiti.

Tko je zatražio sporne vjerodajnice?

Iako su certifikati izdani prije četiri mjeseca, njihovo postojanje postalo je javno poznato tek 3. rujna, zahvaljujući objavi na online forumu. Izdalo ih je Fina RDC 2020, tijelo za izdavanje certifikata, podređeno vlasniku korijenskog certifikata Fina Root CA.

Tom tijelu pak vjeruje Microsoftov program za korijenske certifikate i upravlja time kojim certifikatima vjeruje operativni sustav Windows, a Microsoft Edge čini otprilike pet posto web preglednika koje se aktivno koristi na internetu. Dužnosnici Cloudflarea potvrdili su da su ti certifikati nepravilno izdani i istaknuli da nisu ovlastili Finu za njihovo izdavanje.

'Nakon što smo vidjeli izvješće na popisu e-pošte za transparentnost certifikata, odmah smo pokrenuli istragu i kontaktirali s Finom, Microsoftom i nadzornim tijelom koje nadzire Finu, a koji mogu ublažiti problem opozivom povjerenja u Finu ili pogrešno izdane certifikate', naveli su u izjavi za javnost.

Dodali su da podaci šifrirani putem Cloudflareova WARP VPN-a nisu bili pogođeni. Microsoft je rekao da je 'angažirao tijelo za izdavanje certifikata kako bi zatražilo hitnu akciju'. Također poduzimaju korake za blokiranje pogođenih certifikata putem njihovog popisa zabranjenih certifikata da bi zaštitili korisnike.

Nisu objasnili kako to da nisu uspjeli identificirati nepravilno izdan certifikat toliko dugo. Google i Mozilla su poručili da njihovi preglednici Chrome i Firefox nikada nisu vjerovali tim certifikatima, pa korisnici ne trebaju poduzeti nikakve radnje, a Apple je uputio na poveznicu na popis tijela za izdavanje certifikata kojima vjeruje Safari. Fina nije bila uključena. Zasad nije poznato koja je organizacija ili osoba zatražila i dobila vjerodajnice.

Mogućnost presretanja komunikacije

Certifikati su ključan dio protokola Transport Layer Security te vežu određenu domenu za javni ključ. Tijelo za izdavanje certifikata, ovlašteno za izdavanje onih kojima će preglednici vjerovati, posjeduje privatni ključ koji potvrđuje da je certifikat valjan. Svatko tko posjeduje TLS certifikat može kriptografski lažno predstavljati domenu za koju je izdan.

Vlasnik certifikata 1.1.1.1 mogao bi ih potencijalno koristiti za presretanje komunikacije između krajnjih korisnika i usluge Cloudflare DNS. Napadači koji su u posjedu certifikata 1.1.1.1 mogli bi tako dešifrirati, pregledavati i mijenjati promet s usluge Cloudflare DNS.

Kritična slaba točka

Tako je otkriven ključni propust infrastrukture javnog ključa, odgovorne za osiguravanje povjerenja cijelog interneta, te bi se kompletan sustav mogao urušiti zbog te jedne slabe točke. Incident također baca loše svjetlo na Microsoft jer nije proaktivno uhvatio pogrešno izdane certifikate i dopustio je operativnom sustavu Windows da im dugo vjeruje.

Certificate Transparency, stranicu koja u stvarnom vremenu katalogizira izdavanje svih certifikata kojima browseri vjeruju, moguće je automatski pretraživati i služi tome da se brzo identificiraju pogrešno izdani certifikati, prije nego što ih je moguće aktivno koristiti. Četiri mjeseca kašnjenja sugeriraju da to nije bilo učinjeno na vrijeme.

Pogrešno izdavanje u ovom slučaju lako je uočiti jer je IP adresa korištena za potvrdu toga da je strana koja se prijavljuje za certifikate i imala kontrolu nad domenom bila sama 1.1.1.1. Nije jasno kako je toliko različitih strana moglo propustiti uočiti loše certifikate tijekom tako dugog vremenskog razdoblja, piše Ars Technica.

Što kaže Fina?

U odgovoru na tportalov upit, iz Fine su pojasnili kako je došlo do propusta.

'Prilikom pripreme novog sustava za izdavanje certifikata korišteni su interno izdani testni TLS certifikati, čija je uporaba regulirana upravo za potrebe internog testiranja, kako bi se uklonile pogreške prije puštanja sustava u operativni produkcijski rad.

Tom prilikom se dogodila ljudska pogreška, prilikom upisa IP adrese. Navedena pogreška ubuduće će biti eliminirana izmjenom procedura izdavanja testnih certifikata, čime će se u potpunosti ukloniti rizik od pogrešaka uzrokovanih ljudskim faktorom', naveli su.

Dodali su da su izvršena finalna testiranja predviđena za obavljanje u produkcijskom okruženju prije puštanja promjena u produkcijski operativni rad. Izdavanje takvih certifikata predviđeno je politikom tvrtke.

Fina prema propisima provodi provjere sukladnosti certifikata. Što se tiče obaveze provjere logova na stranici Certificate Transparency, Fina provjerava produkcijske certifikate na propisanom uzorku, ustvrdili su u toj agenciji. U ovom slučaju radilo o internim testnim certifikatima i pogreška nije uočena na vrijeme.

Istaknuli su kako jamče da sporni certifikati nisu nikada bili aktivno korišteni u prometu. Također su pokrenuli postupke izmjena u politikama da bi se strože propisali i kontrolirali uvjeti internog izdavanja testnih certifikata. 'Sukladno propisima kojima podliježemo, navedene promjene bit će auditirane', poručili su iz Fine.

O incidentu su obaviještena sva regulatorna tijela i Microsoft. 'Očekujemo nužnost provedbe korektivne mjere za izdavanje testnih SSL/TLS certifikata, a koje već i poduzimamo. Ovom pogreškom nisu ugroženi sustavi, servisi ni korisnici Fine', naglasili su iz Financijske agencije.