Cuộc tấn công đầu độc DNS để lừa CA phát hành chứng chỉ gian lận đang diễn ra.
Các nhà nghiên cứu ở Đức đã tìm ra cách để lừa các cơ quan cấp chứng chỉ phát hành chứng chỉ SSL gian lận và đây có thể là mối đe dọa chính đối với hệ sinh thái SSL / TLS.
Theo một báo cáo của The Register, nhà nghiên cứu, tiến sĩ Haya Shulman thuộc Viện Công nghệ thông tin an toàn Fraunhofer, thì hacker có thể lừa một số CA phát hành chứng chỉ SSL không chính xác. Rõ ràng, mối đe dọa ở đây là những kẻ lừa đảo có thể nhận được chứng chỉ SSL cho tên miền của người khác và sử dụng nó để tạo ra một bản sao y nguyên trang web đó. Thật thuyết phục, trên thực tế, ngay cả trình duyệt web của người dùng cũng sẽ bị lừa bởi nó.
Kẻ tấn công sau đó có thể lừa đảo mọi người, lây nhiễm cho họ bằng phần mềm độc hại hoặc chỉ ăn cắp thông tin đăng nhập của họ. Shulman và nhóm của cô đã công bố phát hiện của họ trong một báo cáo sẽ được trình bày tại Hội nghị ACM về an ninh máy tính và truyền thông tại Toronto vào tháng tới. Họ đã không tiết lộ tên của các CA có thể bị lừa bởi cuộc tấn công.
The Register đã xem bài báo của nhà nghiên cứu, đã xuất bản đoạn trích sau:
Cuộc tấn công khai thác sự xâm nhập bộ nhớ cache DNS và lừa CA phát hành chứng chỉ gian lận cho các tên miền mà kẻ tấn công không sở hữu hợp pháp – cụ thể là các chứng chỉ ràng buộc khóa công khai của kẻ tấn công vào domain nạn nhân.
Cuộc tấn công được khởi xướng bởi một yêu cầu DNS. Kẻ tấn công sau đó phải tạo ra một phản hồi DNS chính xác trước khi phản ứng thực sự từ máy chủ tên thật đến đó. Kỹ thuật này nhằm fake việc kiểm tra DNS đến từ CA, bằng cách sử dụng máy chủ DNS của kẻ tấn công thay vì máy chủ DNS được liên kết với miền được nhắm mục tiêu.
Cuộc tấn công phụ thuộc vào việc nhận được các phản hồi DNS được chia thành các đoạn, và sau đó tiêm các đoạn mã độc để đánh lừa CA chuyển giao chứng chỉ cho kẻ tấn công. Các phân đoạn đầu tiên của phản hồi chứa các trường phản hồi phản hồi DNS hợp lệ. Các mảnh được chèn vào có thể là bất kỳ điều gì cần thiết để hoàn thành giao dịch để người đó nhận được chứng nhận.
Cần lưu ý rằng kỹ thuật này chỉ hoạt động trên chứng chỉ Domain Validation SSL certificates (không phải OV hoặc EV) và yêu cầu một số tác vụ chân thực khá rộng trước khi nó có thể thực hiện được. Nó chỉ có thể lấy một máy tính xách tay, nhưng một người nghiệp dư sẽ đấu tranh để thu thập thông tin chính xác – cụ thể là phản hồi từ máy chủ tên của mục tiêu, sau đó có thể “bù đắp nơi phân mảnh xảy ra”.
Các nhà nghiên cứu đề nghị một cái gì đó gọi là DV + + như một sửa chữa. Đây là một nhánh của một khái niệm tin cậy phân tán mà rất nhiều nhà nghiên cứu và chuyên gia infosec đã bắt đầu kiểm tra gần đây.
Trong một kịch bản tin cậy phân tán, các chức năng thường được thực hiện bởi một cơ quan chứng nhận “nguyên khối” trung tâm thay vì phân cấp, đó là một thuật ngữ thực sự phổ biến ngay bây giờ nhờ vào tất cả các cryptocurrency và blockchain tiếp thị bros đã đồng lựa chọn nó.
Về cơ bản nó sẽ hoạt động như thế này, chứ không phải là một thực thể duy nhất thực hiện xác nhận tên miền, chủ sở hữu miền sẽ phải xác nhận quyền sở hữu cho nhiều bên liên quan.
“Để vượt qua xác nhận DV ++, chủ sở hữu miền phải chứng minh quyền sở hữu của họ đối với đa số đại lý một cách hoàn toàn tự động bằng cách trả lời các truy vấn được gửi bởi các đại lý cho bản ghi tài nguyên trong miền.”
Trong một số phiên bản của mô hình tin cậy phân tán, như Milagro’s, kiểm tra xác thực được thực hiện khi một khách hàng đến trang web sẽ được đáp ứng bởi ba hoặc nhiều Tổ chức tin cậy, tất cả đều có phần của khóa công khai. Trình duyệt của người dùng sau đó sẽ tập hợp các phần quan trọng vào một khóa duy nhất. Điều này có khả năng bảo vệ chống lại Root Compromise.
Một mô hình tin cậy phân tán sẽ đại diện là một bước đi từ mô hình Cơ sở hạ tầng khóa công khai hiện đang được sử dụng bởi SSL / TLS và các hệ thống mật mã tương tự. Đó là một cuộc thảo luận thú vị, và nó khá hài lòng với kế hoạch được Google công bố gần đây để từ chối URL .