Sự tan chảy của SSL: một cuộc tấn công chiến tranh không gian mạng?

SSLmeltdown: a cyber war attack?

24March 2011, 11:30

Theo:http://www.h-online.com/security/news/item/SSL-meltdown-a-cyber-war-attack-1214104.html

Bàiđược đưa lên Internet ngày: 24/03/2011

Lờingười dịch: Việc quản lý các chứng chỉ số của cáccơ quan chức thực cũng cần hết sức chú ý. Vừa qua cơquan chứng thực Comodo đã phát hiện có những kẻ thâmnhập trái phép sử dụng các chứng chỉ SSL để thâmnhập trái phép vào một loạt các tên miền như“login.live.com, mail.google.com, www.google.com, login.yahoo.com,login.skype.com, addons.mozilla.org và một tên miền “tin cậytoàn cầu” bí mật ("global trustee")”. Hiệnchính phủ Iran bị nghi ngờ đã thực hiện vụ này nhằmthâm nhập vào các máy chủ thư điện tử và mạng xãhội của phe đối lập. Xemthêm: Iran tuyển chiến binh không gian mạng.

Comodođã đưa ra thông tin xa hơn về sự thâm nhập trái phépvào Cơ quan Chứng thực (CA) mà đã cho phép những tin tặckhông rõ danh tính có được các chứng chỉ SSL đối vớicác website hiện hành. Các tên miền bao gồm login.live.com,mail.google.com, www.google.com, login.yahoo.com, login.skype.com,addons.mozilla.org và một tên miền “tin cậy toàn cầu”bí mật ("global trustee").

Theocác điều tra của công ty này, sự thâm nhập trái phépđã được thực hiện thông qua tài khoản của một nhàbán lẻ mà nhiệm vụ của người đó là để kiểm tra“các yêu cầu ký chứng thực” (CSRs) và sau đó truyềncác yêu cầu này vào các hệ thống của Comodo. Một CSRlà một yêu cầu cho một CA để ký một khóa công khai vàlà, hiện nay, được đề xuất thông qua một giao diệnweb. Những kẻ thâm nhập trái phép hình như đã giànhđược các ủy nhiệm truy cập của nhà bán lẻ đó;Comodo đã không đưa ra bất kỳ chi tiết nào hơn về nhàbán lẻ này. Tuy nhiên, nhà bán lẻ được cho là nằm tởNam Âu, mà để lại nhiều nghi vấn.

Nhữngthủ phạm không rõ danh tính, các dấu vết của họ đãdẫn tới Tehran, đã sử dụng các ủy nhiệm này đểđăng nhập vào và tạo ra 9 CSRs, 3 trong số đó là đểvào chỉ một mình login.yahoo.com. Tuy nhiên, Comodo nói rằngkhông thể xác minh được liệu những kẻ thâm nhập cóthực sự được trao tất cả các chứng thực mà chúngyêu cầu hay không. CA cũng chỉ khẳng định rằng mộtchứng thực đối với login.yahoo.com đã bị sử dụngtrên Internet.

Comodocũng nói rằng sự thâm nhập trái phép đã được dò tìmra trong vài giờ, và các chứng thực đã được thu hồingay lập tức. Các trình duyệt có thể sử dụng các Danhsách Thu hồi Chứng thực (CRL) hoặc Giao thức Tình trạngChứng thực Trực tuyến (OCSP) để kiểm tra liệu mộtchứng chỉ đã bị thu hồi hay chưa. Tuy nhiên, vì điềunày không phải lúc nào cũng đáng tin cậy, nên Comodo đãliên hệ với các chủ sở hữu trình duyệt này sao cho họcó thể đưa các dãy số của các chứng thực đó vàomột danh sách tĩnh. Google và Mozilla đã trả lời, vàMicrososft đã đưa ra một cập nhật phù hợp cho InternetExplorer vào hôm thứ tư ngày 23/03.

Comodohas releasedfurther information on the intrusioninto its Certificate Authority (CA) that enabled unknown attackers toobtain SSL certificates for existing web sites. The domains includelogin.live.com, mail.google.com, www.google.com, login.yahoo.com,login.skype.com, addons.mozilla.org and an unspecified "globaltrustee".

Accordingto the company's investigations, the intrusion was carried out viathe account of a reseller whose task is to check "CertificateSigning Requests" (CSRs) and then pass these requests on toComodo's systems. A CSR is a request for a CA to sign a public keyand is, nowadays, submitted via a web interface. The intrudersapparently obtained the reseller's access credentials; Comodo didn'tprovide any further details about the reseller. However, the reselleris said to be located in Southern Europe, which leaves a lot of roomfor speculation.

Theunknown perpetrators, whose tracks lead to Tehran, used thesecredentials to log in and cre-ate nine CSRs, three of which were forlogin.yahoo.com alone. However, Comodo says that it is impossible toverify whether the intruders were actually granted all thecertificates they requested. The CA has only confirmed that acertificate for login.yahoo.com had already been used on theinternet.

Comodoalso says that the intrusion was detected within hours, and thecertificates were revoked immediately. Browsers can use CertificateRevocation Lists (CRL) or the Online Certificate Status Protocol(OCSP) to check whether a certificate has been revoked. However, asthis isn't always reliable, Comodo contacted the browser owners sothey can enter the certificates' serial numbers in a staticblacklist. Google and Mozilla had already responded, and Microsoftreleasedan appropriate up-date for Internet Explorer on Wednesday 23 March.

TheoComodo, việc giám sát giao thông của người trả lời OCSPđã không dò tìm ra được bất kỳ việc sử dụng cómưu toan nào đối với các chứng chỉ, dù điều nàykhông có đáng kể nhiều biết ràng khả năng mà OCSP cóthể được khóa lại. CA đã nhấn mạnh drawngf không cóhệ thống nào của Comodo đã bị tổn thương bất kỳlúc nào, và rằng không có các khóa cá nhân nào đã bịđọc từ Moduel An ninh của Phần cứng (HSMs).

Rấtthú vị là các kết luận mà Comodo đã đưa ra từ vụviệc này: rằng bằng chứng của tình trạng này gợi ýrằng chính phủ Iran đã triển khai các cuộc tấn công,có lẽ để gián điệp về hạ tầng truyền thông củacác thành viên phe đối lập. CA nói rằng chính phủ kiểmsoát các máy chủ miền DNS, mà được cho là được yêucầu đối với các cuộc tấn công này có khả năng diễnra đầu tiên, và rằng vụ việc chủ yếu đã nhằm vàocác máy chủ quản lý thư điện tử và các dịch vụVoIP cũng như các site mạng xã hội.

Accordingto Comodo, the monitoring of OCSP responder traffic has not detectedany attempted use of these certificates, although this doesn't holdmuch significance given the possibility that OCSP can be blocked. Theauthority emphasised that none of Comodo's systems were compromisedat any time, and that no private keys were read f-rom the HardwareSecurity Modules (HSMs).

Highlyinteresting are the conclusions Comodo hasdrawn f-rom the incident: that the circumstantial evidencesuggests that the Iranian government carried out the attacks,probably in order to spy on the communication infrastructure ofmembers of the opposition. The CA said that the government controlsthe DNS, which is reportedly required for these attacks to bepossible in the first place, and that the incident mainly targetedservers hosting email and VoIP services as well as social networkingsites.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com