Bezpečnosť TLS na slovenských serveroch

 Po mnohých bezpečnostných problémoch v protokole TLS a predovšetkým v procesoch vydávania certifikátov, na ktoré upozorňujú bezpečnostní analytici, sme sa rozhodli pozrieť na certifikáty TLS internet bankingov a chránených zón finančných a iných inštitúcií na Slovensku.

O aké problémy ide? V roku 2001 autor tohto článku poukázal na nie dostatočne bezpečné procesy pri vydávaní certifikátov v časopise 2600. Išlo o zneužitie procesných chýb na získanie platného certifikátu od certifikačnej autority bez toho, aby mal žiadateľ na tento certifikát právo. Na získanie certifikátu stačil internetový prehliadač, e-mailový klient a fax. Začiatkom tohto roka sa objavili ďalšie podobné problémy.

Od roku 2006 však už zďaleka neplatí, že všetky certifikáty sú si rovné. Povieme si o základných vlastnostiach certifikátov. V tomto prieskume sa nebudeme zameriavať na bezpečnosť šifier, hashovacích funkcií či podpisových algoritmov. Tie boli vo všetkých prípadoch podľa dostupných štandardov dostačujúce.

Certifikačná autorita

Na to, aby bol internetový prehliadač (prípadne e-mailový klient) schopný overiť identitu druhej strany, je potrebný certifikát, ktorý je súhrnom informácií o druhej strane a obsahuje predovšetkým dátum platnosti, meno servera (common name) a verejný kľúč servera. Tieto informácie sú digitálne podpísané. Na to, aby bol prehliadač schopný overiť identitu, musí sa certifikačná autorita nachádzať v prehliadači. Mnohé certifikačné autority spĺňajúce bezpečnostné požiadavky tvorcov prehliadačov sú predinštalované. Toto je jediný spôsob, ako získať prístup pomocou protokolu HTTPS bez varovného okna o nezabezpečení a zároveň úplne základný predpoklad zabezpečenej stránky.

Okrem predinštalovaných certifikačných autorít existuje veľa iných a mnohé z nich majú zmysel. Predovšetkým ide o interné certifikačné autority, používané vo firemnom prostredí, a o certifikačné autority pracujúce v súlade so zákonom o elektronickom podpise. Tieto certifikačné autority však nie sú predinštalované v prehliadačoch a na použitie ich treba nainštalovať. Inštalácia často závisí od nezabezpečeného protokolu HTTP, ktorý je náchylný na rôzne druhy útokov. Predovšetkým pri certifikačných autoritách pôsobiacich v rámci zákona o elektronickom podpise vidíme, že väčšinou neposkytujú celú cestu od koreňovej certifikačnej autority Národného bezpečnostného úradu. Keby tak robili, stačilo by nainštalovať koreňový certifikát NBÚ a všetky akreditované certifikačné autority by boli okamžite overené. Je nám doteraz záhadou, prečo tak nerobia.

Koreňový certifikát NBÚ na tom však nie je o nič lepšie – poskytuje sa cez nezabezpečené spojenie. Už len keby NBÚ investoval do jedného CA zahraničnej predplatenej komerčnej CA, bola by bezpečnosť oveľa vyššia. Môže sa tváriť, že zahraničné CA, ktoré poznajú prehliadače, neexistujú, lebo neoperujú v súlade so slovenským právnym poriadkom, no poskytovaním koreňového certifikátu bez zabezpečenia robia situáciu ešte horšou. Podobne funguje väčšina komerčných akreditovaných certifikačných autorít. Neexistuje tak (jednoduchý) bezpečný spôsob ich inštalácie a overenia. Najlepšie, na čo sme prišli, je zatelefonovať do certifikačnej autority, aby nám nadiktovali tzv. odtlačok certifikátu. Je to praktické?

Z bankových inštitúcií túto zásadnú požiadavku nespĺňa len ČSOB, ktorá navyše používa českú certifikačnú autoritu. Na telefonickej linke ČSOB nám poradili, aby sme si odtlačok certifikátu pozreli na webe. Cez nezabezpečené spojenie.

Z iných inštitúcií, na ktoré sme sa rozhodli pozrieť, túto základnú požiadavku nespĺňa ani SK-NIC – monopolný národný registrátor domén. Využíva služby Prvej Slovenskej Certifikačnej Autority, ktorá tiež neposkytuje koreňový certifikát cez zabezpečené spojenie.

Overenie držiteľstva domény

Certifikačná autorita držiteľstvo domény kontroluje dvoma spôsobmi: poslaním e-mailu na adresu, ktorú si certifikačná autorita vygeneruje, a tým, že certifikačná autorita požiada držiteľa domény, aby na konkrétnu cestu umiestnil konkrétny dokument. Certifikačná autorita teda overuje držiteľstvo domény spôsobom, ktorý je náchylný na útoky, ktorým sa celá certifikácia snaží brániť. Na druhej strane útočník musí byť schopný spraviť útok presne v čase vydania certifikátu. Má však možnosť o certifikát aj kedykoľvek požiadať. A tu je kameň úrazu – certifikát, ktorý overuje iba držiteľstvo domény, a certifikát overujúci do istej miery aj identitu sa nedá na prvý pohľad rozlíšiť. Treba sa pozrieť na podrobné informácie o certifikáte.

Overenie identity

Overenie identity umožní držiteľovi certifikátu mať na ňom okrem domény napísané aj obchodné meno spoločnosti. Procedúra na overenie obchodného mena sa často líši v závislosti od autority (a znova pripomíname, že bežný používateľ na prvý pohľad nezbadá, kto certifikát vydal, musí sa na to špeciálne pozrieť). Neraz na overenie identity stačí tzv. business license, čo je výpis z obchodného registra. Slovenský súd vydá výpis z obchodného registra akejkoľvek spoločnosti bez overenia identity. Ten potom stačí odfaxovať, prípadne počkať na telefonické overenie.

Rozšírené overenie identity

Práve na boj proti takýmto praktikám niektoré certifikačné autority vymysleli spôsob overovania s názvom Extended Validation. Ten je už v najnovších prehliadačoch implementovaný. V prípade, že stránka tento spôsob podporuje, prehliadače to indikujú väčšinou zeleným pásikom s URL (adresou), vedľa ktorej sa nachádza meno spoločnosti, ktorej bol certifikát vydaný, prípadne certifikačná autorita.

Používateľ môže tento fakt vizuálne overiť, a ak stránka jeho banky alebo iná citlivá stránka zrazu nemá zelený pásik s adresou, prípadne je na ňom napísané meno inej inštitúcie, bude opatrnejší a nezadá stránke nijaké prihlasovacie údaje. Je to jediný spôsob, ako na prvý pohľad odlíšiť úroveň overovania zákazníka. Procedúra na vydanie certifikátu s rozšíreným overením identity je oveľa presnejšia a zložitejšia.

Rozšírené overenie je pomerne nové, ale aj napriek tomu sme očakávali častejšie využívanie hlavne pri bankových inštitúciách. Zo 16 inštitúcií, na ktoré sme sa pozreli, sa o proces rozšírenej validácie úspešne pokúsili len štyri. Pri zvyšných inštitúciách sa teda musíme uspokojiť so štandardným overením a pri spomínaných dvoch inštitúciách prakticky so žiadnym overením, hoci teoretická možnosť overenia existuje.

Názov inštitúcie Platný certifikát od podporovanej CA Názov organizácie v certifikáte Rozšírená validácia a green bar
AXA Slovenská republika áno nie nie
ČSOB nie - -
Dexia banka áno áno nie
ING áno áno nie
Istrobanka áno áno áno
Komerční banka Bratislava áno áno áno
Mbank áno áno áno
OTP Banka áno áno nie
Poštová banka áno áno nie
Privatbanka áno áno nie
SK-NIC nie - -
Slovenská sporiteľna áno áno áno
Tatra banka áno áno nie
Unicredit Bank áno áno nie
Volksbank Slovensko áno áno nie
VÚB áno áno nie

 

Zdroj: INFOWARE



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter