Cuộc tấn công của tin tặc Iran làm lộ ra gót chân Asin

Iranhack attack uncovers Web's Achilles heel

March 24, 2011

Cuộctấn công nhấn mạnh lỗi trong hệ thống bây giờ khôngcòn hợp thời mà trao 650 khóa chủ của các tổ chứckhác nhau cho xác thực Web.

Attackhighlights flaws in a now-antiquated system that gives 650 differentorganizations master keys to Web authentication

By Declan McCullagh,(CNET)

Theo:http://www.cbsnews.com/stories/2011/03/24/tech/cnettechnews/main20046722.shtml

Bài được đưa lênInternet ngày: 24/04/2011

Lờingười dịch: Chúng ta đã quen với giao thức SSL để mãhóa đường truyền Internet và tin cậy vào một máy chủWeb được bảo vệ bằng mật mã với “https://” thay vì“http://” hàng chục năm nay. Tuy nhiên, sự kiện tin tặcđược cho là được chính phủ Iran bảo trợ đãđánh lừa được các thủ tục mã hóa được sửdụng để đảm bảo cho các kết nối tới Google, Yahoo,Microsoft và các website chủ chốt khác và lấy được 650khóa chủ của các tổ chức khác nhau cho xác thực Web,thì câu chuyện mới vỡ lở rằng những gì chúng ta từngtin cậy tuyệt đối vào hệ thống bảo mật này lạichẳng đáng tin cậy tí nào. Bạn hãy nghe chính ngườidẫn dắt các nhóm SSL Observatory mà đã theo dõi các chứngthực SSL, nói: “Chúng ta thực sự cần một cách thứckhông tin cậy vào bất kỳ ai”, Eckersley nói. “Chúngta có 1.500 chứng thực chủ cho Web đang hoạt động. Đólà 1.500 nơi mà có thể bị thâm nhập và tất cả bỗngnhiên bạn phải bò ra mà mơ ước về một giải pháp”.Lưu ý là: “Việc lừa gạt được các website có thểcho phép chính phủ Iran sử dụng những gì được biếtnhư một cuộc tấn công của người giữa đường đểthủ vai các site phi pháp và ăn cắp các mật khẩu, đọccác thông điệp thư điện tử, và giám sát bất kỳ hoạtđộng nào khác mà các công dân của mình thực hiện,thậm chí nếu các trình duyệt web chỉ ra rằng các kếtnối được bảo vệ an ninh với mã hóa SSL”.

Chỗ bị tổn thươngđã được biết từ lâu và ít được bàn luận tớitrong thiết kế Internet hiện đại đã được nhấn mạnhtới vào ngày hôm qua trong một báo cáo rằng các tin tặcđã lần vết tới Iran đã đánh lừa được các thủ tụcmã hóa được sử dụng để đảm bảo cho các kết nốitới Google, Yahoo, Microsoft và các website chủ chốt khác.

Thiết kế này, đượcđi đầu bởi Netscape vào đầu và giữa những năm 1990,cho phép tạo ra các kênh được mã hóa cho các website, mộttính năng an ninh quan trọng được xác định một cáchđặc trưng bởi một biểu tuwongr chiếc khóa đóng trênmột trình duyệt. Hệ thống này dựa vào các bên thứ 3để đưa ra cái gọi là các chứng chỉ mà chứng minhrằng một website là hợp pháp khi làm việc với một kếtnối “https://”.

Tuy nhiên, vấn đềlà, danh sách các nhà cung cấp chứng chỉ đã tăng nhưbóng bay qua các năm tới khoảng 650 tổ chức, mà có thểkhông phải lúc nào cũng tuân thủ những thủ tục an ninhnghiêm ngặt. Và mỗi nhà cung cấp có một bản sao cáckhóa chủ của Web.

“Chính vấn đề nàyđang tồn tại ngày này ở những nơi mà có một sốlượng rất lớn các nhà cung cấp chứng chỉ mà đượcmọi người tin cậy về mọi thứ”, Peter Eckersley, nhàcông nghệ tham mưu cao cấp tại Quỹ Biên giới Điện tửmà đã biên dịch ra một trong những danh sách này.

Điều này đã tạora một tình huống quái dị trong đó các công ty nhưEtisalat, một nhà truyền dẫn không dây tại Ả rập Thốngnhất đã cài cắm phần mềm độc hại vào các thiết bịcủa các khách hàng sử dụng BlackBerry, chiếm dụng cáckhóa chủ mà có thể được sử dụng để thủ vai bấtkỳ website nào trên Internet, thậm chí cả của Bộ Ngânkhố Mỹ, Ngân hàng BankofAmerica.com, và Google.com. Làm tươngtự như vậy với hơn 100 trường đại học của Đức,Bộ An ninh Nội địa Mỹ, và các tổ chức bất kfy nhưGemini Observatory, mà nó vận hành một đôi kính viễn vọngđường kính 8.1 mét ở Hawaii và Chile.

Along-known but little-discussed vulnerability in the modernInternet's design was highlighted yesterday by a reportthat hackers traced to Iran spoofed the encryption procedures used tosecure connections to Google, Yahoo, Microsoft, and other major Websites.

Thisdesign, pioneered by Netscape in the early and mid-1990s, allows thecreation of encrypted channels to Web sites, an important securityfeature typically identified by a closed lock icon in a browser. Thesystem relies on third parties to issue so-called certificates thatprove that a Web site is legitimate when making an "https://"connection.

Theproblem, however, is that the list of certificate issuers hasballooned over the years to approximately 650 organizations, whichmay not always follow the strictest security procedures. And each onehas a copy of the Web's master keys.

"Thereis this problem that exists today whe-re there are a very large numberof certificate authorities that are trusted by everyone andeverything," says PeterEckersley, senior staff technologist at the ElectronicFrontier Foundation who has compiled a list of them.

Thishas resulted in a bizarre situation in which companies like Etisalat,a wireless carrier in the United Arab Emirates that implantedspyware on customers' BlackBerry devices, possess the master keysthat can be used to impersonate any Web site on the Internet, eventhe U.S. Treasury, BankofAmerica.com, and Google.com. So do more than100 German universities, the U.S. Department of Homeland Security,and random organizations like the Gemini Observatory, which operatesa pair of 8.1-meter diameter telescopes in Hawaii and Chile.

Đây là tình huốngmà không ai có thể nghĩ trước đó gần 2 thập kỷ trướckhi mà bảo vệ bằng mật mã được biết tới như làSSL (An ninh tầng khe cắm) đã bắt đầu được nhúng vàocác trình duyệt web. Khi đó, sự tập trung là vào việcđảm bảo an ninh cho các kết nối, chứ không phải vàoviệc đảm bảo an ninh cho bản thân các nhà cung cấpchứng thực - hoặc hạn chế số lượng các nhà cung cấpnày.

“Đótừng là vào những năm 1990”, nhà nghiên cứu về an ninhDan Kaminsky, người đã phát hiện ra lỗi nghiêm trọng củaHệ thống Tên Miền DNS vào năm 2008. “Chúng ta đã khôngnhận thức được hệ thống này có thể phát triển nhưthế nào”. Ngày nay, có khoảng 1.500 các khóa chủ, hoặccác chứng thực ký số, được Internet Explorer và Firefoxtin cậy.

Chỗ bị tổn thươngcủa hạ tầng xác thực số ngày này bị phát hiện saukhi Comodo, một hãng có trụ sở ở thành phố Jersey, N.J.mà hãng đưa ra các chứng chỉ SSL, đã cảnh báo cho cácnhà sản xuất trình duyệt web rằng một đối tác châuÂu đã gây tổn thương cho các hệ thống của hãng. Cuộctấn công được xuất xứ từ một địa chỉ có IP củaIran, theo Giám đốc điều hành của Comodo là MelihAbdulhayoglu, người đã nói cho CNET rằng kỹ năng và sựtinh vi phức tạp đã gợi ý về một chính phủ đứngđằng sau sự thâm nhập trái phép này.

Việclừa gạt được các website có thể cho phép chính phủIran sử dụng những gì được biết như một cuộc tấncông của người giữa đường để thủ vai các site phipháp và ăn cắp các mật khẩu, đọc các thông điệp thưđiện tử, và giám sát bất kỳ hoạt động nào khác màcác công dân của mình thực hiện, thậm chí nếu cáctrình duyệt web chỉ ra rằng các kết nối được bảo vệan ninh với mã hóa SSL.

Nếu Comodo là đúngvề cuộc tấn công có xuất xứ từ Iran, thì nó khôngphải chính phủ đầu tiên trong khu vực đã tiến hànhcác bước tương tự. Cuối năm ngoái, chính phủ Tunisiađã cam kết một sơ đồ tham vọng ăn cắp toàn bộ mậtkhẩu có giá trị đối với đất nước này của Gmail,Yahoo và Facebook. Nó đã sử dụng mã độc JavaScript đểdẫn qua các ủy nhiệm đăng nhập không được mã hóa,mà đã cho phép các đặc vụ của chính phủ thâm nhậphoặc xóa các thảo luận có liên quan tới những chốngđối.

It'sa situation that nobody would have anticipated nearly two decades agowhen the cryptographic protection known as SSL (Secure Sockets Layer)began to be embedded into Web browsers. At the time, the focus was onsecuring the connections, not on securing the certificate authoritiesthemselves--or limiting their numbers.

"Itwas the '90s," says security researcher DanKaminsky, who discovereda serious Domain Name System flaw in 2008. "We didn't realizehow this system would grow." Today, there are now about 1,500master keys, or signing certificates, trusted by Internet Explorerand Firefox.

Thevulnerability of today's authentication infrastructure came to lightafter Comodo, a Jersey City, N.J.-based firm that issues SSLcertificates, alerted Web browser makers that an unnamed Europeanpartner had its systems compromised. The attack originated f-rom anIranian Internet Protocol address, according to Comodo ChiefExecutive Melih Abdulhayoglu, who told CNET that the skill andsophistication suggested a government was behind the intrusion.

Spoofingthose Web sites would allow the Iranian government to use what'sknown as a man-in-the-middle attack to impersonate the legitimatesites and grab passwords, read e-mail messages, and monitor any otheractivities its citizens performed, even if Web browsers show that theconnections were securely protected with SSL encryption.

IfComodo is correct about the attack originating f-rom Iran, it wouldn'tbe the first government in the region to have taken similar steps.Late last year, the Tunisian government undertookan ambitious scheme to steal an entire country's worth of Gmail,Yahoo, and Facebook passwords. It used malicious JavaScript code tosiphon off unencrypted log-in credentials, which allowed governmentagents to infiltrate or de-lete protest-related discussions.

Sự phát giác củaComodo đã ném vào sự làm giảm bớt một cách rõ rệtcác lỗi vốn có trong hệ thống hiện hành. Không có quitrình tự động hóa nào để loại bỏ các chứng chỉgiả mạo. Không có danh sách công khai các chứng thực sốnào mà các công ty như Comodo đã đưa ra, hoặc thậm chínhững người bán lẻ và đối tác của nó đã đưa ramột tập hợp trùng của các khóa chủ đó. Không có mộtcơ chế nào để ngăn ngừa các chứng chỉ giả mạo choYahoo Mail hoặc Gmail từ các công ty bị tổn thương đưara, hoặc không có chế độ áp chế nào dựa vào sự giámsát được. Tunisia thậm chí có cơ quan chính phủ pháthành chứng thực của riêng mình.

“Nhữngtổ chức này hành động như những cơ quan an ninh và kiểmtra độ tin cậy trên Internet, nhưng dường như là họkhông làm đủ siêng năng mà các cơ quan khác mong đợi,như các ngân hàng”, Mike Zusman, nhà tư vấn quản lý tạihãng an ninh ứng dụng Web Intrepidus Group. “Tôi không chắcchúng ta cần làm gì nhưng tôi nghĩ đã tới lúc chúng tabắt đầu giải quyết vấn đề tin cậy và các vấn đềvề các cơ quan chứng thực CA tiềm tàng không đạt đượccác tiêu chuẩn mà họ cần phải có”.

Vài năm qua, một nhúmcác tài liệu và trình bày tại các hội nghị của cáctin tặc đã tập trung nhiều sự chú ý hơn vào chủ đềnày. Nhưng sự thâm nhập trái phép Comodo, mà dường nhưlà bằng chứng công khai đầu tiên về một cuộc tấncông thực sự trên con đường mà Web điều khiển sựxác thực, có thể là một chất xúc tác cho việc nghĩlại cách phải quản lý an ninh.

Ví dụ, 2 năm trước,Zusman đã có khả năng lấy được một chứng chỉ từThawte, một chi nhánh của VeriSign, cho “login.live.com” chỉdựa vào một địa chỉ thư điện tử mà ông đã tạora trong miền Hotmail. Thậm chí nó đã được loại bỏ,thì nó vẫn đã làm việc được trong một trình duyệtweb trong một trình diễn tại hội nghị Mũ Đen tại LasVegas. Comodo, cũng vậy, đã từng trình diễn trước đólà có các tiêu chuẩn an ninh lỏng lẻo trong số các nhàbán lẻ cho tới tháng 12/2008.

Comodo'srevelation throws into sharp relief the list of flaws inherent in thecurrent system. There is no automated process to revoke fraudulentcertificates. There is no public list of certificates that companieslike Comodo have issued, or even which of its resellers or partnershave been given a duplicate set of the master keys. There are nomechanisms to prevent fraudulent certificates for Yahoo Mail or Gmailf-rom being issued by compromised companies, or repressive regimesbent on surveillance; Tunisia even has its own certificate-issuinggovernment agency.

"Theseorganizations act as cornerstones of security and trust on theInternet, but it seems like they're not doing basic due diligencethat other organizations are expect to do, like the banks," saysMike Zusman, managing consultant at Web app security firm IntrepidusGroup. "I'm not sure what we need to do but I think it'stime we start addressing the issue of trust and issues of certificateauthorities potentially not living up to standards that they shouldbe."

Overthe last few years, a handful of papers and demonstrations at hackerconferences have focused more attention on the topic. But the Comodointrusion, which appears to be the first public evidence of an actualattack on the way the Web handles authentication, could be a catalystfor rethinking the way to handle security.

Twoyears ago, for instance, Zusman wasable to get a certificate f-rom Thawte, a VeriSign subsidiary, for"login.live.com" just based on an e-mail address he cre-atedon the Hotmail domain. Even though it was revoked, it still worked ina Web browser during a demonstration at the Black Hat conference inLas Vegas. Comodo, too, has previously been shown to have laxsecurity standards among its resellers as far back as December2008.

“Hãy nhớ, lý do duynhất mà Iran phải đi trong một thời gian dài để họ cóđược các chứng thực là vì họ không có một (nhà pháthành chứng chỉ) của riêng họ... hầu hết các quốc giacó thể chỉ tạo ra của riêng họ”, Moxie Marlinspike,giám đốc công nghệ của nhà phát triển ứng dụng diđộng Whisper Systems, người đã phát hiện ra những vấnđề nghiêm trọng với chứng thực Web trước đó, nói.Một vấn đề, ông nói, là các công ty mà phát hành cácchứng thực số có một động lực kinh tế mạnh đểlàm cho dễ dàng nhất có thể để có được chúng.

Một khía cạnh lolắng khác là việc các nhà sản xuất trình duyệt khôngphải lúc nào cũng có cách thức tốt để loại bỏ cácchứng thực giả mạo. Một luồng thảo luận trênMozilla.org, các nhà sản xuất trình duyệt của Mozilla, chỉra rằng sau khi được chỉnh bởi Comodo, họ đã không xửlý được để loại bỏ các chứng thực giả mạo. Cáclập trình viên của Mozilla đã kết thúc viết mã nguồnmởi và kiểm thử bản vá, mà lấy mất vài ngày, thậmchí sau khi nó được tung ra, nghĩa là chỉ những ngườisử dụng mà đã tải về các phiên bản mới của Firefoxlà được hưởng lợi.

Chrome của Google, mặtkhác, sử dụng một hệ thống cập nhật trong suốt chocác phiên bản máy tính để bàn nhưng không nhất thiếtcho di động. Microsoft nói hôm qua rằng “một bản cậpnhật là sẵn sàng cho tất cả các phiên bản được hỗtrợ của Windows để giúp giải quyết vấn đề này”.

Ross Anderson, giáo sưvề kỹ thuật an ninh tại phòng thí nghiệm máy tính Đạihọc Cambridge, đã đưa ra một câu chuyện tiếu lâm trongtài liệu ở đây (PDF):“Tôi đã hỏi một người trong Quỹ Mozilla vì sao, khitôi đã cập nhật Firefox hôm trước, thì nó đã đặttrở lại một chứng thực mà tôi trước đó đã xóa, từmột tổ chức có liên quan tới các dịch vụ quân sự vàtình báo Thổ Nhĩ Kỳ. Người phát ngôn của Firefox đãnói rằng tôi không thể loại bỏ các chứng thực – Tôiđã phải để chúng lại nhưng sửa chúng để loại bỏcác khả năng của chúng – trong khi một đoàn đại biểuThổ Nhĩ Kỳ bị sỉ nhục đã kêu rằng cơ quan bị trahỏi chỉ là một tổ chức nghiên cứu”.

Jacob Appelbaum, mộtnhà lập trình Dự án Tor mà là đối tượng của mộtcuộc đánh pháp lý với Bộ Tư pháp về công việc củanó với WikiLeaks, nói Mozilla đã cảnh báo về chỗ bịtổn thương này ngay lập tức và đã xuất xưởng Firefox4 với một cách thức để dò tìm và loại bỏ các chứngthực tồi và được bật một cách mặc định. (Kỹthuật này được gọi là Giao thức Tình trạng Chứngthực Trực tuyến, hoặc OSCP).

“Mozilla không nóitới trách nhiệm của họ đối với Internet một cáchnghiêm túc”, Appelbaum, người đã viết một phân tíchđộc lập về tình trạng này. “Một trình duyệt webkhông phải là một trò chơi. Nó được sử dụng như mộtcông cụ để lật đổ các chính phủ... Cuối cùng, họđã không đặt những người sử dụng của họ lêntrước”.

Một số những sửalổi kỹ thuật dài hạn đã được đề xuất, với cáctên như DANE,HASTLS,CAA(Philip Hallam-Baker của Comodo là một đồng sáng lập), vàMonkeysphere. Công nghệđược biết như là Những mở rộng An ninh Hệ thống TênMiền, hoặc DNSSEC, có thể giúp. Eckersley của Quỹ Biêngiới Điện tử, người dẫn dắt các nhóm SSL Observatorymà đã theo dõi các chứng thực SSL, nói rằng ông sẽ sớmđưa ra đề xuất khác về cách để tăng cường kiếntrúc mật mã của Web.

“Chúngta thực sự cần một cách thức không tin cậy vào bấtkỳ ai”, Eckersley nói. “Chúng ta có 1.500 chứng thực chủcho Web đang hoạt động. Đó là 1.500 nơi mà có thể bịthâm nhập và tất cả bỗng nhiên bạn phải bò ra mà mơước về một giải pháp”.

"Remember,the only reason Iran has to go to the lengths they've gone to to getcertificates is because they don't have a (certificate issuer) oftheir own... most countries can just generate their own," saysMoxie Marlinspike, chief technology officer of mobile app developerWhisper Systems, who hasdiscovered seriousproblems with Web authentication before. One problem, he says, isthat companies that issue certificates have a strong economicincentive to make it as easy as possible to obtain them.

Anotherworrisome aspect is that browser makers don't always have a good wayto revoke fraudulent certificates. A discussionthread at Mozilla.org, makers of the Firefox browser, shows thatafter being alerted by Comodo, they had no process to revoke the fauxcertificates. Mozilla developers ended up having to write new codeand test a patch, which took a few days and, even after its release,meant that only users who downloaded new versions of Firefox benefit.

Google'sChrome, on the other hand, uses a transparentup-date system for desktop versions but not necessarily mobileones. Microsoft saidyesterday that "an up-date is available for all supportedversions of Windows to help address this issue."

RossAnderson, professor of security engineering at the University ofCambridge's computer laboratory, offered an anecdote in this paper(PDF): "I askeda panelist f-rom the Mozilla Foundation why, when I up-dated Firefoxthe previous day, it had put back a certificate I'd previouslyde-leted, f-rom an organisation associated with the Turkish militaryand intelligence services. The Firefox spokesman said that I couldn'tremove certificates--I had to leave them in but edit them to removetheir capabilities - while an outraged Turkish delegate claimed thatthe body in question was merely a 'research organisation.'"

JacobAppelbaum, a Tor Project developer who is a subject of a legalspat with the Justice Department over his workwith WikiLeaks, says Mozilla should have warned of thevulnerability immediately and shipped Firefox 4 with a way to detectand revoke bad certificates turned on by default. (The technique iscalled OnlineCertificate Status Protocol, or OSCP).

"Mozilla'snot taking their responsibility to the Internet seriously," saidAppelbaum, who wrote an independentanalysis of the situation. "A Web browser isn't a toy. It'sbeing used as a tool to overthrow governments...At the end of theday, they did not put their users first."

Somelong-term technical fixes have been proposed, with names like DANE,HASTLS,CAA(Comodo's Philip Hallam-Baker is a co-author), and Monkeysphere.The technology known as DomainName System Security Extensions, or DNSSEC, can help. TheElectronic Frontier Foundation's Eckersley, who runs the groups SSLObservatory that tracks SSL certificates, hints that he'll soonoffer another proposal about how to reinforce the Web's cryptographicarchitecture.

"Wedo in fact need a way not to trust everyone," Eckersley says."We have 1,500 master certificates for the Web running around.That's 1,500 places that could be hacked and all of a sudden you haveto scramble to dream up a solution."

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com