W związku z nakładanymi przez zachód sankcjami na Rosję w postaci dostępu do stron internetowych, Rosja utworzyła państwowy urząd wydający certyfikaty TLS. Zgodnie z informacjami na stonie Gosuslugi, certyfikaty miałyby być wydawane do 5 dni. Zanim jednak zaczniemy wchodzić w zagrożenia związane z państwowymi certyfikatami, zacznijmy od początku.
Atak Man in the Middle
Atak MitM opisaliśmy już w artykule wykorzystującym możliwość tworzenia własnego Access Pointa w celu wykradnięcia danych użytkowników. W związku z tym tylko przypomnimy – MitM jest atakiem w którym przechwytujemy ruch sieciowy. Są nim między innymi żądania HTTP w których mogą znaleźć się wrażliwe dane w postaci na przykład haseł użytkownika. Tutaj jednak zaczyna się problem – aby uskutecznić taki atak, żądanie HTTP musiałoby nie być szyfrowane (czyli nie mogłyby być to żądania HTTPS). Dochodzimy więc do sedna sprawy – ruch HTTPS najpierw musi być przechwycony, a następnie odszyfrowany.
Wydawanie certyfikatu a klucz prywatny / publiczny
Wydawanie certyfikatu działa najczęściej w taki sposób, że generujemy parę kluczy publiczny / prywatny lokalnie, a następnie po przesłaniu klucza publicznego do Certificate authority, wydaje on podpisany certyfikat. W niektórych przypadkach generowanie pary kluczy stoi po stronie urzędu certyfikacji. Oznacza to, że mogą (ale nie muszą) trzymać oni kopię prywatnego klucza w swojej bazie danych. Jest to zagrożenie bezpieczeństwa. Wyobraźmy sobie sytuację w której mamy dostęp do szyfrowanych danych oraz prywatnego klucza. Może to skutkować dostępem do danych poufnych.
Zaufane źródła
Ciekawe jest to, że każdy może utworzyć swój własny certyfikat. Skąd jednak użytkownik wie, że wydany certyfikat pochodzi z zaufanego źródła? W przeglądarce internetowej są zainstalowane klucze publiczne wszystkich głównych urzędów certyfikacji. Używa ona tego klucza publicznego do sprawdzenia, czy certyfikat serwera WWW został rzeczywiście podpisany przez zaufany urząd certyfikacji (CA). Certyfikat zawiera nazwę domeny i/lub adres IP serwera WWW.
W związku z powyższym nasuwa się pytanie – czy przeglądarki typu Chrome, Firefox i Safari będą uznawały certyfikaty państwowe Rosji jako zaufane. Ponadto, pozostaje Warto pamiętać, że możemy dodać manualnie własne klucze publiczne. Dlaczego jest to tak ważne? Przejdźmy dalej.
MitM w Kazachstanie, czyli historia lubi się powtarzać
W tym miejscu warto przypomnieć przykład z Kazachstanu, kiedy to w 2015 roku rząd Kazachstanu stworzył swój certyfikat główny. Rząd uznał, że jest to „certyfikat bezpieczeństwa narodowego”. W lipcu 2019 r. kazachscy dostawcy usług internetowych zaczęli informować swoich użytkowników, że certyfikat będzie musiał zostać manualnie zainstalowany na urządzeniach użytkowników.
Aby chronić obywateli Kazachstanu przed przechwytywaniem ich komunikacji online przez rząd, Google i Mozilla zablokowały główny CA Kazachstanu w przeglądarce Chrome oraz Firefox. Warto pamiętać, że w przypadku Rosji posiadają one dwie rządowe przeglądarki – Yandex oraz Atom. Tyle w skrócie. W celu rozwinięcia odsyłamy na wikipedię.
Źródła
https://linuxhint.com/decrypt-ssl-tls-wireshark/
https://thehackernews.com/2022/03/russian-pushing-its-new-state-run-tls.html
https://bugspace.pl/straszny-atak-rogue-access-point/
https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_attack
https://linuxhint.com/decrypt-ssl-tls-wireshark/