Приховані загрози під час використання сертифікатів безпеки
До виявлення вірусу Flame, багато ІТ-керівників не усвідомлювали наявність прихованої загрози в неефективному керуванні цифровими сертифікатами безпеки.
Випадки несанкціонованого вторгнення в системи та крадіжки даних стають дедалі частішими, і багато організацій страждають від їх наслідків, втрачаючи доходи, втрачаючи інтелектуальну власність, одержуючи претензії від користувачів або відчуваючи шкоду, яку завдає торговельна марка компанії. Ключова проблема тут полягає в тому, що в міру ускладнення технологій захисту стають все більш складними та технології атак зловмисників.
Хакери активно шукають нові вразливості у системах та створюють нові методи для їх дискредитації. Останнім часом одними з таких цілей є цифрові сертифікати, особливо у випадку компаній, які переважно використовують такі сертифікати для забезпечення безпеки комунікацій усередині ІТ-систем.
З багатьох проблем, що стосуються сертифікатів, одна з них пов'язана з організаціями, які мають права їх видачі, такі як VeriSign, Network Solutions, GeoTrust та десятки аналогічних. Велика кількість таких організацій та ризики, пов'язані з їхньою дискредитацією, є джерелом занепокоєння для багатьох ІТ-керівників.
Проблема полягає в тому випадку, що органи сертифікації можуть бути скомпроментовані як такі, що мали місце, наприклад, з такими організаціями, як DigiNotar, Comodo та DigiCert. Ці випадки можуть виявитися тільки верхівкою айсберга, а кількість випадків такого роду означає лише одне — зловмисники поставили на промислову основу способи дискредитації органів, які видають сертифікати.
Компанія Microsoft визнала, що у 2012 р. зловмисники змогли скористатися її внутрішніми сертифікатами,отримавши доступ до підсистеми поширення патчів, і виконати атаку типу MITM (a-man-in-the-middle), що дозволило впровадити шкідливе програмне забезпечення на кілька тисяч комп'ютерів. У цьому випадку комп'ютери були заражені сумнозвісним вірусом Flame, який дозволяє непомітним чином зібрати і передати назовні інформацію з комп'ютера. Цей випадок показав, що в Microsoft застосовувалися вразливі сертифікати, підпис для яких генерувався слабким алгоритмом.
В останній рік щонайменше з п'ятьма органами сертифікації відбулися аналогічні випадки, що дозволило, зокрема, хакерам перехоплювати весь трафік, що входить на певний веб-сайт, захищений підміненим сертифікатом. Таким чином, при загальному підвищенні довіри до використання сертифікатів існує ймовірність відмов систем через їх недостовірність, наслідки яких можна порівняти з наслідками інших типів порушення систем безпеки. Вплив такого роду проблем може бути значною мірою ослаблений шляхом застосування запобіжних заходів, які зазвичай розглядаються організаціями як другорядні.
Незадовільна політика керування сертифікатами
Дослідницька компанія Gartner рекомендує організаціям оцінювати вплив на їхню діяльність інцидентів, пов'язаних з цифровими сертифікатами. Просте анулювання сертифікатів може виявитися не такою простою справою, як вона виглядає на перший погляд. Багато організацій втратили контроль за своїми сертифікатами через невпорядковану роботу з ними.
Ерік Оулле та Вік Вітмен, віце-президенти компанії Gartner, відзначили, що часто при настанні наслідків закінчення терміну дії сертифікатів, у багатьох організаціях насамперед звертають увагу на відмови апаратури або напроблеми з ПЗ, і тільки після цього починають шукати причину помилки у використанні сертифікатів стандарту X.509 зі строком дії, що минув. Це зазвичай призводить до великих затримок у визначенні та усуненні базової причини відмови системи.
Коли відбувається зловмисна заміна сертифікатів, є безліч винних у цьому сторін. Іноді відповідальними за те, що трапилося, називають людей, які відповідають за безпеку в системах, іноді винними призначають вендорів ПЗ, а в інших випадках і кінцевих користувачів, які не змогли забезпечити ефективний захист доступу до сховищ сертифікатів. Проте основна причина може полягати у незадовільній політиці управління сертифікатами.
Основна вразливість сертифікатів безпеки полягає в управлінні цими сертифікатами, а не в самих сертифікатах як таких або в базових технологіях забезпечення безпеки — зрештою, доведено, що методи шифрування та захисту мають дуже високу надійність.
Коли зловмисник може керувати сертифікатом, чи здатний його підробити чи зробити його недійсним, всі переваги використання цифрових сертифікатів стають лише теоретичними. Додаткові проблеми виникають, коли у сертифікатів закінчується термін дії: якщо це не відстежувати і вчасно їх не відновлювати, то в системах із сертифікатами, що втратили чинність, можуть відбуватися збої. Вирішення такого роду ситуацій потребує запобіжного підходу, але розуміння першопричин проблем, пов'язаних із сертифікатами, є першим кроком у цьому напрямку.
Проблеми такого виду можна сформулювати так: у промислових компаніях часто не знають скільки сертифікатів вони мають і де вони зберігаються. Це ускладнює процедуру керування ними.
У низці організаційприймаються стандарти забезпечення безпеки, у яких визначаються довжина ключів та алгоритми шифрування. Дуже часто, фахівці з безпеки зазнають труднощів у виборі довжини ключів — 1024 або 2048 біт.
Ключі шифрування використовуються у протоколі SSH для віддаленого входу на Unix- та Linux-системи. Ряд аудиторських організацій вже вказали на ризики, пов'язані із застосуванням SSH.
Загрози, пов'язані з ключами шифрування
За останні 16 років використання сертифікатів набуло вибухового характеру — вони застосовуються як усередині систем, так і для взаємодії між системами як на роутерах, так і в програмних додатках. Це загострило проблему управління сертифікатами, зокрема тому, що сертифікати та пов'язані з ними ключі шифрування використовуються вручну. Більше того, неправильне керування ключами для шифрування створює таку ж загрозу безпеці, як і неправильне керування самими сертифікатами.
При використанні ключів для шифрування дані шифруються і дешифруються за допомогою ключів двох видів - секретний ключ використовується для шифрування даних, а відкритий ключ (використовується стороною, що приймає) застосовується для дешифрування. Т. е., володіння цими ключами є шлях до отримання доступу до конфіденційної інформації, тому вони повинні надійно охоронятися.
Опитування 471 старшого менеджера з безпеки, проведене сертифікуючою організацією Venafi, показало, що 54% респондентів стикалися у своїх організаціях із ситуацією, коли ключі для шифрування або були вкрадені, або виявлялися неврахованими. ІТ-менеджери, технічні директори та начальники інформаційних служб часто використовували можливості переходу до ключів більшої довжини з метою підвищення безпеки систем та захисту даних, але це інодідавало неоднозначні результати: зловмисні вторгнення продовжували мати місце і кількість їх лише збільшувалася.
Компанія Gartner випустила дослідницький звіт “Керування сертифікатами на основі стандарту X.509: усунення ризиків та шкоди репутації”, в якому надаються рекомендації щодо безпеки при використанні сертифікатів. “Організації, в яких використовується близько 200 або більше випущених сертифікатів на основі стандарту X.509, входять до групи високого ризику, пов'язаного з незапланованим закінченням терміну дії сертифікатів або сертифікатів, які були потрібні, але так і не були введені в дію. У цьому випадку організації повинні якнайшвидше розпочати формалізовану процедуру витребування сертифікатів”.
“Автоматизована процедура перевірки сертифікатів та їх оновлення дозволить мінімізувати ризик від наслідків незапланованого закінчення терміну дії сертифікатів. Ручне або автоматизоване управління сертифікатами має бути використане для підвищення відповідальності у застосуванні сертифікатів X.509 в організаціях”.
“Компаніям необхідно мати реєстр X.509-сертифікатів та емітентів сертифікатів, щоб мінімізувати збитки під час дискредитації сертифікатів, підозри на дискредитацію або при прямих атаках, що зазнали на собі в останні 18 місяців деякі організації, які займаються випуском сертифікатів. Крім того, компанії повинні мати чітко прописані плани того, що потрібно робити, коли відбулася дискредитація органу сертифікації та тим самим порушена система безпеки”.
Захист організацій від порушення їхньої системи безпеки та тимчасової бездіяльності, що викликається такими інцидентами, вимагає запобіжних дій на основі здорового глузду та ситуаційної поінформованості.Компанії, які взяли курс на ефективні технології безпеки, будуть краще підготовлені для відображення атак і загроз більш витонченого типу.