Facebook a descoperit Certificate Digitale false in timp ce isi observa conexiunile SSL

Un grup de cercetatori de la Universitatea Carnegie Mellon, in colaborare cu Facebook, au analizat mai mult de 3 milioane de conexiuni SSL si au gasit dovezi puternice ca cel putin 0.2% (6845) dintre acestea sunt facute folosind Certificate Digitale falsificate, respectiv certificate semnate-de-sine (self-signed), care nu sunt autorizate de o Autoritate de Certificare legitima, dar care pot fi acceptate ca certificate valide pentru majoritatea browserelor.

Acestia au utilizat plugin-ul Flash Player pentru a obtine accesul asupra porturilor TCP-IP si pentru a implementa un handshake SSL partial pentru a captura certificatele falsificate. In general, browserele moderne afiseaza un mesaj de avertizare (ca cel de mai jos) cand intalnesc erori in procesul de validare a certificatului SSL, dar tot permit utilizatorului sa continue, chiar si cu o conexiune mai putin sigura.

Facebook Fake SSL ConnectionConexiunile SSL false pot pretinde ca erorile certificatelor sunt cauzate de un server prost configurat. Conform studiilor de utilizabilitate (usability), multi utilizatori ignora erorile certificatelor SSL si astfel devin vulnerabili celor mai simple atacuri. Acest lucru inseamna ca orice hacker poate impersona cu succes orice site, chiar si pentru conexiuni HTTPS, pentru a realiza un atac man-in-the-middle, putand astfel intercepta datele criptate transmise peste acea conexiune.

Certificate Digitale false semnate cu chei furate de la antivirusi

Cercetatorii au observat ca majoriteatea certificatelor SSL false folosesc acelasi nume ca si certificatele originale eliberate de Autoritati de Certificare, cum sunt VeriSign sau Comodo.

Unele programe antivirus, cum sunt BitDefender, ESET, BullGuard, Kaspersky Lab, NordNet si DefenderPro, au abilitatea de a intercepta si scana conexiunile SSL pe sistemele utilizatorilor, pentru a-i apara pe acestia de conexiuni SSL false. Aceste programe antivirus genereaza propriile lor certificate, care le inlocuiesc pe cele semnate-de-sine (self-signed) ale atacatorilor.

“Utilizatorii ar trebui sa se teama de atacatorii profesionisti care ar putea fi capabili sa fure cheile private ale certificatelor antivirusilor, care, in esenta, le-ar permite acestora sa-i spioneze (din moment ce certificatul root ar fi considerat de incredere de catre sistem).” explica cercetatorii. “Teoretic, guvernele de asemenea ar putea convinge vendorii de antivirusi sa le predea certificatele lor.”

Aceleasi capabilitati au fost observate si in diferite programe de Firewall sau Control Parental (Parental Control), care ar putea, de asemenea, fi compromise de hackeri, cu scopul de a genera Certificate Digitale valide dar false.

Certificate Digitale generate de malware

Cercetatorii au mai observat un alt certificat interesant, numit “IopFailZeroAccessCreate”, care a fost generat de un anumit malware pe sistemele utilizatorilor si care foloseste acelasi nume ca certificatul original emis de Autoritatea de Certificare “VeriSign Class 4 Public Primary CA”.

“Aceste variante sunt dovada clara ca atacatorii genereaza certificate cu atribute ale emitentului false si chiar au crescut in complexitate pe timpul studiului nostru.” spun cercetatorii.

Statisticile detectate arata ca utilizatorii infectati cu acelasi malware care instaleaza certificatele false “IopFailZeroAccessCreate” sunt raspanditi in 45 de tari diferite, inclusiv in Mexic, Argentina si SUA. Cercetatorii de la Facebook, in colaborare cu echipa Microsoft Security Essentials, au confirmat aceste suspiciuni si au identificat exact tipul de malware responsabil pentru acest atac.

Tehnici de detectare si migrare a atacului

Atacatorii pot, de asemenea, restrictiona porturile TCP-IP folosite de Flash prin blocarea politicii de trafic (traffic policy) prin portul 843 sau pot evita interceptarea conexiunii SSL facute de Flash Player in totalitate pentru a ocoli metodele de detectare folosite de cercetatori. Pentru a contracara acest lucru, site-urile ar putea servi fisierele politicii de trafic (traffic policy) prin porturi care sunt deja deschise in Firewall (80 si 443), multiplexand (alternand) traficul web cu cel dedicat politicii de trafic (traffic policy).

In plus, cercetatorii au discutat despre tehnici de migrare care sunt in lucru, cum ar fi HSTS, HPKP, TLS-OBC si DANE, care ar putea fi folosite de catre servere pentru a impune traficul prin protocolul HTTPS.

Cum sa eliminati malware-ul

Daca sunteti infectati cu un malware similar, urmati pasii urmatori:

  • Verificati ca fisierul hosts sa nu contina intrari malitioase
    (C:\Windows\System32\Drivers\etc\hosts);
  • Verificati setarile DNS din sistem sau de pe router/modem;
  • Verificati setarile proxy din browser;
  • Verificati add-on-urile si plugin-urile instalate in browser;
  • Instalati un antivirus sau firewall recunoscut si scanati sistemul de fisiere malitioase.

Sursa: The Hacker News

14 Comentarii

  1. Pingback: Cum sa rezolvi problema cu certificatul SSL in Google Chrome

  2. ion spune:

    Articolul e bun dar face presupuneri gresite. Iti spun din surse sigure ca cel putin Bitdefender nu are cum sa aiba cheile private furate sau compromise. Cheile private sunt unice pentru fiecare utilizator si instalare de bitdefender (se genereaza la fiecare install) si se creeaza si sunt pastrate doar pe statia utilizatorului.

    Astfel teoria ca un guvern poate forta o companie de av sa predea cheile de criptare nu sta in
    picioare.

    Daca un atacator ajunge sa iti poata fura cheia privata de pe calculatorul unde ai instalat antivirusul ai deja mult mai multe probleme decat faptul ca iti intercepteaza facebook-ul.

    • Mai citeste odata articolul si gandeste-te la posibilitatea ca ai deja malware-ul in cauza in calculator si inca nu este pe lista BitDefender. Desigur, acest malware probabil a fost deja inclus pe lista lor de potentiale amenintari si cum este detectat este automat si sters. Dar tine cont ca cei care produc virusi/malware, sunt intotdeauna cu un pas inaintea celor care fac produse antivirus. Dureaza cel putin cateva ore pana le adauga pe lista. Asta insemnand ca exista timp suficient ca malware-ul sa fure certificatul antivirusului si sa-l foloseasca in scopuri malitioase, chiar daca acesta este generat la instalare. Deci nu e o presupunere chiar atat de SF.

      • Mihai spune:

        Am si eu o problema cu Google CHROME. Imi da urmatoarea eroare cand intru pe google.ro :

        ” Conexiunea nu este privată
        Atacatorii pot încerca să vă fure informațiile de pe google.ro (de exemplu, parolele, mesajele sau informațiile despre cardurile de credit) – NET::ERR_CERT_AUTHORITY_INVALID

        Youtoube-ul, si facebook-ul si alte site-uri merg dar nu ma lasa sa intru pe google sa caut si eu ceva. Am tot incercat tot felul si nu inteleg care e problema.

        Rulez pe Windows 10. Antivirus Kaspersky Internet Security 2015 (desi nu cred k este antivirusul ca pana acuma nu am avut problema cu el)

        • Mi se pare ciudat ca apare eroarea asta pe Windows 10. De obicei aparea pe Windows XP pentru ca era mult prea vechi sistemul de operare. Eroarea apare pentru ca autoritatile de certificare folosesc mai nou un protocol HSTS pentru autorizarea certificatelor SSL. Probabil ca trebuie sa updatezi Chrome-ul la ultima versiune.

  3. Andreea spune:

    Si eu in cazul asta ce sa fac?

  4. Lore spune:

    Am și eu aceeași problema nu pot accesa pagina de Google în nici un fel după nici un navigator pentru ca imi scrie conexiunea nu este sigura, și am wind 8 și un laptop samsung.Este încă în garanție. L-Am trimis de 3 ori în garanție, printre care ultima data direct la Samsung și mi-au spus ca nu au găsit nici o anomalie dar de fapt laptopul are aceasta problema din primul moment în care l-am cumparat, am ajuns acasă și am vrut sa intru pe Google. Ce pot sa mai fac? Va rog ajutati-mă pentru ca nu știu ce sa mai fac cu el.

    • Faptul ca nu poti accesa pagina Google nu are nici un fel de legatura cu partea hardware (fizica) a laptopului si nu este necesar sa-l duci la garantie pentru asta. Problema este in software, adica fie cu Windows-ul, fie cu Chrome, sau ce alte browsere mai folosesti. Este foarte posibil ca eroarea respectiva sa apara pentru ca ai data si ora setate gresit. Daca ai data si ora corecte, atunci s-ar putea sa ai Windows-ul virusat. Iti recomand sa instalezi un antivirus si sa scanezi sistemul de virusi.

      • Macamete George spune:

        Salut. Am aceeasi problema: singurul website pe care nu pot intra este google in rest totul merge frumos. Am verificat tot sistemul, antivirus original nu fake ( sa ii zic asa ) , data si ora sunt corect ( ma uit simultan la sistemul care are probleme si cel care este ok, respectiv cel de pe care scriu acum.
        Nu se pupa cu nimic problema mea cu a altor persoane… ce sfaturi poti sa imi dai :(?

      • Macamete George spune:

        Mentionez ca folosesc Windows 8.1 Pro N iar antivirusul meu este Bitdefender Total Security 2015

        • Mi se pare tare suspect. Cred ca ai Firewall-ul de la Bitdefender configurat prost. Eset si Bitdefender cauzeaza destul de multe probleme cu certificatele SSL pentru ca incearca sa iti scaneze conexiunea criptata si altereaza certificatele de securitate originale, ceea ce nu este ok deloc. Gasesti pe Google cum sa opresti scanarea pentru conexiunile securizate, posibil chiar la ei pe site.

          Daca nu, incearca sa reinstalezi browser-ul, sau in cel mai rau caz, Windows-ul. Poate are vreun bug pe undeva.

  5. paul spune:

    A dracului data ce poate sa faca…desi nu stiu cum s-a intamplat sa se deregleze. Merci mult pentru ponturi!!!

Comentariile sunt inchise. Daca ai o problema sau nelamurire, te rog foloseste formularul de pe pagina de Contact.