Wednesday, March 30, 2011

Sahte Comodo SSL Sertifikası

23 Mart’ta, Microsoft,Google,Mozilla ve Skpe gibi internet omurgalarını oluşturan firmaların domainleri için Comodo CA(Certificate Authority) tarafından sahte SSL sertifikası oluşturuldu.

Bu tarihten beri İnternet’in ana gündem maddesi olmaya devam eden bu konu hakkında sizlere, soru cevap şeklinde bir yazı hazırladık.

Tam olarak hangi domain’ler için sertifika oluşturuldu?
login.live.com
login.yahoo.com
login.skype.com
mail.google.com
www.google.com
addons.mozilla.org

Bu durum, biz son kullanıcıları nasıl etkileyebilir?
Hava limanında yada benzer halka açık bir noktada Internet’e bağlanıyorsanız, Hotmail,Skype,Gmail yada Yahoo şifreleriniz saldırganların eline geçebilir.

Bu saldırı ile bilgisayarımıza virüs bulaştırabilirler mi?
Evet

Google dahil bu sitelere girmessek, yinede bilgisayarımıza virüs bulaşabilirmi?
Evet çünkü bu servislerin desktop uygulamarı , otomatik güncellemeleri, bu domainler üzerinde yapıyorlar. Ve saldırganlar otomatik güncellemelere virüs koyabilirler.

addons.mozilla.org sertifikasındaki amaç nedir?
Buradaki firmaların çoğunun uygulamaları (Windows Update,MSN,Skype vs) son sürümlerinde, otomatik güncellemelerde sadece SSL bağlantısına güvenmiyorlar aynı zamanda indirilen kodun(exe,dll vs) dijital sertifikasınıda kontrol ediyorlar ve eğer dijital sertifika doğrulanamassa, kod çalıştırılmıyor. Ancak Mozilla Firefox, eklentilerini güncellerken dijital sertifika kontrolü yapmıyor çünkü bu eklentilerin çoğunun zaten sertifikası olmuyor. Saldırganlar büyük ihtimalle bunu hesaplayıp addons.mozilla.org’u aldı.

Firefox kullanmıyorsam genede bilgisayarıma zararlı yüklenebilirmi?
Yüksek ihtimalle evet, örneğin Skype 4.0 öncesi sürümlerinde otomatik güncellemelerde, güncellenen kodun sertifikasını kontrol etmiyor.

Nasıl bir önlem almam gerekli?
Tarayıcılarınızı güncelleyiniz.

Tarayıcımı neden güncellemem gerekiyor, CRL yada OCSP’nin aktif olması yeterli değilmi?
CRL ve OCSP, çalışma mantıkları olarak aynılar, ikisininde çalışma prensibi, sunucudan gelecek cevab üzerine kurulu. Kısacası bu türde bir atak için bu protokoller yetersiz. (DEFCON 17’de Moxie’nin SSL üzerine yaptığı sunumu izleyenler “Magic OCSP response code = 3’i biliyorlardır. İzlemeyenlerede şiddetle tavsiye ediyorum.
defcon17

Bu konu internete nasıl düştü?
Chrome kaynak kodlarını düzenli olarak takip eden bir programcı, Chrome’un yeni çıkan sürümünde bir sertifika kara listesi eklendiğini farkediyor ve seri numaralarından takip edip buluyor.

Olay olduğu gibi kullanıcılar neden haberdar edilmedi?
Bizde bilmiyoruz

Saldırganlar Comodo’nun gizli root anahtarını mı ele geçirdiler?
Comodo’nun verdi bilgiye göre hayır, İran’lı saldırganlar Comodo’nun bayilerinden birinin, uzaktan CA yönetim şifrelerini ele geçirmişler ve otomatik olarak imzalamışlar.

CA’lar bayilerine imzalama yetkisi veriyorlarmı?
CA’larin işleyişi konusunda hiç bir bilgimiz yok. Belkide sadece Comodo yetki veriyordur, öyleyse bile bu olaydan sonra devam edeceklerini sanmıyoruz.

Root anahtarı çalınmış olsa ne olurdu?
Çok kötü olurdu, tarayıcılar bu sefer Comodo kök sertifikasını blacklist yaparlardı ve binlerce Comodo imzalı siteye girilemezdi.

Microsoft yada Mozilla’nın, Comodo kök sertifikasını tarayıcılarından çıkartma ihtimali varmı?
Comodo root anahtarını bile kaptırmış olsa bunu yapacaklarını hiç zannetmiyoruz çünkü onlarında tarihlerine bakıldığında, benzeri olaylar, onlarında başına gelmiştir.

Comodo’ya neden bukadar yükleniliyor başka bir CA’nın başına bu gelemez mi?
Comodo’nun kurucusu, kendini dünyaya ispatlamış bir Türk(Melih Abdülhayoğlu) ve bu pastada Comodo’nun parçası iyice büyüdü, çekemeyen çok fazladır ve fırsat bulmuşken yükleniyor olabilirler.

Hackerlar 2001 yılında VeriSign’dan, sahte Microsoft imzası almışlardı. VeriSign açıklaması ise “Human Error” olmuştu. İlgili sertifikayı buradan download edip inceliyebilirsiniz.

Peki siz neden VeriSign kullanıyorsunuz?
Çünkü Microsoft, henüz kernel driver’lar (sys) için Comodo sertifikasını kabul etmiyor, ancak yakın zamanda bu değişecektir ve muhtemelen ozaman bizde Comodo ile imzalarız.

İran devletinin konu ile ilgisi olabilir mi?
Comodo’ya göre evet. Bize göre’de evet çünkü Arap ülkelerinin karışık olduğu bir zamana denk geliyor, hatırlarsanız Mısır, olayların çıktığı dönem, İnternet trafiğini kontrol etmek istemişti ve edemeyince Internet erişimini tamamen kapatmıştı. Bunu gören İran, önceden hazırlanmak istemiş olabilir. Ve alınan domainler içinde finansal kurumların olmayışıda bu tezi güçlendiriyor.

Türkiye’nin, popüler tarayıcılarda ön tanımlı CA’sı var peki İran’ın yok mu?
Yok.

Bir hacker’in, olayı, üstüne aldığı söyleniyor bu doğru olabilir mi?
Evet, olayı tek başına gerçekleştirdiğini iddia eden İran’lı bir hacker var, İnternet’te paylaştıklarına göre Comodo sunucularından birini ele geçirmiş. (Hacker’in anlattığı hack yöntemini ve doğruluğunu bir sonraki yazımızda detaylı olarak paylaşacağız)




No comments:

Post a Comment