Πρώτα τα καλά νέα. Ξεκινώντας από την κυκλοφορία του προγράμματος περιήγησης Chrome 90 της Google στα μέσα Απριλίου, ο Chrome από προεπιλογή θα προσπαθεί να φορτώσει την έκδοση ενός ιστότοπου που είναι ασφαλής με κάποιο Transport Layer Security (TLS).
Αυτοί είναι οι ιστότοποι που εμφανίζουν κλειστό κλείδωμα στην γραμμή διευθύνσεων του Chrome (URL).
Τα κακά νέα είναι ότι μόνο και μόνο επειδή ένας ιστότοπος προστατεύεται με HTTPS δεν σημαίνει ότι είναι και αξιόπιστος.
Πριν από μερικά χρόνια, η WordFence, μια πολύ γνωστή εταιρεία ασφάλειας του WordPress, διαπίστωσε ότι τα πιστοποιητικά SSL που εκδίδονται από τις αρχές έκδοσης πιστοποιητικών (CA) σε ιστότοπους ηλεκτρονικού ψαρέματος προσποιούνται ότι είναι άλλοι ιστότοποι.
Επειδή τα πιστοποιητικά είναι έγκυρα, παρόλο που λειτουργούν σε εσφαλμένες εγκαταστάσεις, ο Chrome θα αναφέρει αυτούς τους ιστότοπους σαν ασφαλείς. Έτσι τα δεδομένα που αποστέλλονται με αυτή την σύνδεση δεν θα είναι ασφαλή.
Φυσικά, οι CA δεν πρέπει να εκδίδουν πλαστά πιστοποιητικά ασφαλείας. Δυστυχώς, συμβαίνει.
Ένα τέλειο παράδειγμα: αποκαλύφθηκε ότι η Let’s Encrypt, μια δωρεάν, ανοιχτή και αυτοματοποιημένη CA, είχε χρησιμοποιηθεί για τη δημιουργία χιλιάδων πιστοποιητικών SSL για ιστότοπους ηλεκτρονικού ψαρέματος που χρησιμοποιούν παράνομα το “PayPal” σαν μέρος του ονόματός τους. Και δεν είναι μόνο h PayPal. Η Google, η Microsoft και η Apple είχαν τα domain τους σαν μέρος κακόβουλων URL σε σελίδες phishing.
Επίσης, δεν μπορεί να γίνει κατάχρηση της διαδικασίας CA. Ο Paul Walsh, ιδρυτής και διευθύνων σύμβουλος της εταιρείας ασφαλείας, MetaCert και συνιδρυτής του World Wide Web Consortium (W3C) URL Classification Standard, αναφέρει ότι υπάρχουν πολλά άλλα προβλήματα με την αφελή πεποίθησή μας ότι το HTTPS από μόνο του είναι αρκετό για να διασφαλίσει τις συνδέσεις μας στο Διαδίκτυο .
Ο Walsh έγραψε στο Twitter, “Όταν πρωτοεμφανίστηκαν υπηρεσίες ασφαλείας που βασίζονται σε DNS, το μεγαλύτερο μέρος του ιστού δεν ήταν κρυπτογραφημένο και οι επιτιθέμενοι δεν χρησιμοποιούσαν αξιόπιστα domains όπως Google, Microsoft, GitHub κ.ά. Έτσι ήταν αποτελεσματικό στο παρελθόν, αλλά είναι λιγότερο αποτελεσματικό σήμερα.” Ό
ταν ξεκίνησε η κορυφαία δωρεάν CA, Let’s Encrypt, το 2015, λιγότερο από το ένα πέμπτο των ιστότοπων διέθετε HTTPS. Σήμερα, το 82,2% των ιστότοπων καλύπτονται.
Αυτό όμως ήταν τότε. Σήμερα υπάρχουν και άλλα προβλήματα.
Πρώτον, ο Walsh πιστεύει ότι αυτό που κάνει η Google (επιβολή HTTPS) είναι “θεωρητικό, αλλά η εκτέλεση του είναι χάλια. Νομίζω ότι είναι ανήθικο για μια εταιρεία να κάνει τους ανθρώπους να πιστεύουν ότι είναι το σωστό για κάθε δημιουργό ιστότοπου και για κάθε άτομο που χρησιμοποιεί τον ιστό.”
Ο Walsh δεν είναι ο μόνος που αισθάνεται έτσι “Η επιβολή https είναι μια ηλίθια ιδέα.”
Εκτός αυτού, όπως παρατήρησε ο Walsh στην ανάλυσή του σχετικά με την ασφάλεια των ιστότοπων, “το βασικό λουκέτο [URL] έχει σχεδιαστεί για να ενημερώνει τους χρήστες όταν η σύνδεσή τους με έναν ιστότοπο είναι κρυπτογραφημένη. Ένα λουκέτο δεν αντιπροσωπεύει την εμπιστοσύνη ή την ταυτότητα. Θα έπρεπε να κάνουν την ταυτότητα του ιστότοπου πιο προφανή – όπως ένα ξεχωριστό εικονίδιο στη γραμμή εργαλείων – καθιστώντας το εντελώς ξεχωριστό από το λουκέτο.”
Με άλλα λόγια, μπορείτε να ασφαλίσετε έναν ιστότοπο που προσποιείται ότι είναι πραγματικό Amazon, eBay ή PayPal. Αποτυχία.
Αυτό συμβαίνει όχι μόνο λόγω των ψεύτικων ιστότοπων με πραγματικά πιστοποιητικά HTTPS. Ο Walsh επισημαίνει ότι οι επιθέσεις Modlishka δημιουργούν έναν αντίστροφο διακομιστή μεσολάβησης μεταξύ εσάς και του ιστότοπου που θέλετε να επισκεφθείτε.
Φαίνεται ότι είστε συνδεδεμένοι στο πραγματικό, επειδή λαμβάνετε αυθεντικό περιεχόμενο από τον νόμιμο ιστότοπο, αλλά ο διακομιστής μεσολάβησης αντιστρέφει (reverse-proxy) σιωπηλά όλη την επισκεψιμότητά σας προς και από τον διακομιστή Modlishka.
Έτσι, τα “διαπιστευτήριά σας και οι ευαίσθητες πληροφορίες σας, όπως ένας κωδικός πρόσβασης ή ένα wallet address που εισάγεται από τον χρήστη, μεταβιβάζονται αυτόματα στους επιτιθέμενους. Ο αντίστροφος διακομιστής μεσολάβησης ζητά επίσης από τους χρήστες τα διακριτικά 2FA όταν τους ζητηθούν από τον ιστότοπο. Οι εισβολείς μπορούν στη συνέχεια να συλλέξουν αυτά τα 2FA tokens σε πραγματικό χρόνο, για πρόσβαση στους λογαριασμούς των θυμάτων.”
Εκτός από τα παραπάνω ο Walsh δεν είναι καθόλου πεπεισμένος ότι τα δωρεάν και εύκολα πιστοποιητικά HTTPS είναι καλά:
“Ο όγκος των διαδικτυακών επιθέσεων που χρησιμοποιούν αυτόματα εκδοθέντα δωρεάν πιστοποιητικά έχει αποδυναμώσει την αξιόπιστη βάση υπολογιστών (TCB) του διαδικτύου κατά τη γνώμη μου. Και τα δωρεάν πιστοποιητικά αποτελούν μια υπαρξιακή απειλή για την ασφάλεια και την ευημερία της κοινωνίας.”
Η απάντηση? Σύμφωνα με τον Walsh, οι CC πρέπει να:
- Οριοθετήσουν περισσότερο τις διαδικασίες επαλήθευσης ταυτότητας.
- Μειώσουν το κόστος, το χρόνο και την προσπάθεια απόκτησης επαλήθευσης ταυτότητας.
- Οι πωλητές οφείλουν να σχεδιάσουν άλλο ένα εικονίδιο για την επαλήθευση ταυτότητας στην γραμμή εργαλείων του προγράμματος περιήγησης – δίπλα από το λουκέτο.
- Οι προμηθευτές προγραμμάτων περιήγησης πρέπει να βελτιώσουν την εμπειρία του χρήστη, ώστε η πραγματική ταυτότητα των ιστότοπων να είναι διαισθητική.
Τότε, και μόνο τότε, ο Ιστός θα είναι στο δρόμο για να είναι πραγματικά ασφαλής.