Ο Εθνική Υπηρεσία Ασφάλειας των ΗΠΑ (NSA) εξέδωσε αυτήν την εβδομάδα μια προειδοποίηση για τους οργανισμούς της χώρας που αναφέρει να μην χρησιμοποιούν wildcard πιστοποιητικά TLS λόγω μιας νέας επίθεσης που ονομάζεται ALPACA TLS.
Η NSA προτρέπει όλους τους οργανισμούς να ακολουθήσουν τις τεχνικές συμβουλές της καθώς οι επιτιθέμενοι θα μπορούσαν να αποκτήσουν πρόσβαση και να αποκρυπτογραφήσουν την κρυπτογραφημένη web κυκλοφορία.
Οι κίνδυνοι από τη χρήση wildcard πιστοποιητικών TLS
Αν και υπάρχουν πολλά διαφορετικά σενάρια και επιθέσεις που θα μπορούσαν να βοηθήσουν τους επιτιθέμενους να αποκρυπτογραφήσουν κάθε κίνηση με κρυπτογράφηση TLS, η NSA τόνισε συγκεκριμένα τη χρήση wildcard πιστοποιητικών TLS, κάτι για το οποίο πολλοί ερευνητές ασφαλείας έχουν προειδοποιήσει εδώ και χρόνια [1, 2, 3, 4, 5, 6]..
Επίσης γνωστό και σαν domain-validated certificate, ένα wildcard πιστοποιητικό είναι ένα ψηφιακό πιστοποιητικό TLS που αγοράζουν εταιρείες από τις αρχές έκδοσης πιστοποιητικών και επιτρέπουν στον κάτοχο να το εφαρμόζει ταυτόχρονα σε ένα domain και σε όλα τα subdomain του (*.example.com).
Με τα χρόνια, οι εταιρείες άρχισαν να χρησιμοποιούσαν wildcard πιστοποιητικά λόγω του μειωμένου κόστους αλλά και επειδή είναι ευκολότερο να διαχειριστούν, καθώς οι διαχειριστές μπορούν να εφαρμόζουν το ίδιο πιστοποιητικό σε όλα τα sites αντί να χρειάζεται να διαχειρίζονται ένα διαφορετικό για κάθε subdomain.
Ωστόσο, αυτή η ευκολία στη χρήση είναι και η αχίλλειος πτέρνα της τεχνολογίας, καθώς μόλις κάποιος κακόβουλος χρήστης παραβιάσει έναν διακομιστή, παραβιάζει ουσιαστικά ολόκληρη την εταιρεία.
“Ένας κακόβουλος χρήστης που αποκτά τον έλεγχο κάποιου ιδιωτικού κλειδιού που από ένα wildcard πιστοποιητικό, θα έχει τη δυνατότητα να υποδύεται οποιονδήποτε από τους ιστότοπους της εταιρείας και να αποκτήσει πρόσβαση σε έγκυρα διαπιστευτήρια χρηστών και προστατευμένες πληροφορίες”, ανέφερε η NSA την Πέμπτη.
Ο υπηρεσία ασφαλείας των ΗΠΑ καλεί τώρα τους διαχειριστές τόσο των δημόσιων όσο και των ιδιωτικών δικτύων να εκτιμήσουν ξανά την ανάγκη χρήσης ενός wildcard πιστοποιητικού στα δίκτυά τους και να προετοιμαστούν για την εφαρμογή μεμονωμένων πιστοποιητικών για να απομονώσουν και να περιορίσουν πιθανές παραβιάσεις.
Η νέα επίθεση ALPACA
Επιπλέον, η δημοσίευση της NSA συνοδεύεται και από μια προειδοποίηση για τη νέα επίθεση ALPACA, (από το Application Layer Protocol Content Confusion Attack), η οποία αποκαλύφθηκε αυτό το καλοκαίρι και χρησιμοποιεί wildcard πιστοποιητικά.
Με μια απλή εξήγηση, αυτή η επίθεση επιτρέπει στον επιτιθέμενο να μπερδέψει τους web servers που τρέχουν πολλά πρωτόκολλα για να απαντήσουν σε κρυπτογραφημένα αιτήματα HTTPS μέσω μη κρυπτογραφημένων πρωτοκόλλων, FTP, email (IMAP, POP3) και άλλα.
Μια επιτυχημένη επίθεση “μπορεί να εξαγάγει cookie συνεδρίας και άλλα ιδιωτικά δεδομένα χρηστών ή να τρέξει αυθαίρετα JavaScript στον ευάλωτο web server, παρακάμπτοντας το TLS και την ασφάλεια των web εφαρμογών”, σύμφωνα με την ερευνητική ομάδα που ανακάλυψε την επίθεση ALPACA.
Την εποχή που αποκαλύφθηκε τον Ιούνιο, το πρόβλημα δεν αντιμετωπίστηκε σοβαρά επειδή η εκτέλεση μιας επίθεσης ALPACA απαιτούσε από τους επιτιθέμενους να είναι σε θέση να υποκλέψουν την κυκλοφορία ιστού, κάτι που είναι δύσκολο σε ορισμένα σενάρια.
Όμως η ερευνητική ομάδα που ανακάλυψε την επίθεση ανέφερε ότι περισσότεροι από 119.000 web servers ήταν ευάλωτοι σε επιθέσεις ALPACA, ένας αρκετά σημαντικός αριθμός.
Προστασία
Τέσσερις μήνες αργότερα, η NSA παροτρύνει όλους τους οργανισμούς να σκεφτούν σοβαρά το συγκεκριμένο θέμα, και να ελέγξουν εάν οι διακομιστές τους είναι ευάλωτοι, ειδικά εάν οι οργανισμοί ασχολούνται με ευαίσθητες πληροφορίες ή ανήκουν στο κυβερνητικό δίκτυο των ΗΠΑ.
Η NSA συνιστά την ενεργοποίηση του Application-Layer Protocol Negotiation (ALPN), που είναι μια επέκταση TLS που εμποδίζει τους web servers να απαντούν σε αιτήματα μέσω μη επιτρεπόμενων πρωτοκόλλων (όπως FTP, IMAP ή οτιδήποτε άλλο αποφασίσει ο ιδιοκτήτης του server να μην επιτρέψει).
Να αναφέρουμε ότι η Google εφάρμοσε ήδη τεχνικές προστασίας για την επίθεση ALPACA στο πρόγραμμα περιήγησης Chrome.
