Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Problemy urzędu certyfikacji TURKTRUST

Kurt Baumgartner
Kaspersky Lab Expert
Dodany 7 stycznia 2013, 14:47 CET
Tagi:

Microsoft poinformował niedawno publicznie o aktualizacji mającej na celu aktywne „zablokowanie” trzech certyfikatów wydanych przez Urząd Certyfikacji TURKTRUST oraz jego centra pośrednie. Według Microsoftu, urząd ten popełnił kilka poważnych błędów, w wyniku których został wydany trefny certyfikat, który mógłby zostać wykorzystany do ataków MiTM lub fałszowania wielu domen google, w tym gmail.com. Instalacja Chrome’a wykryła „nieautoryzowany certyfikat cyfrowy dla domeny ‘*.google.com’” w nocy 24 grudnia 2012 roku i tym samym rozpoczęło się dochodzenie prowadzone przez zespół Google ds. bezpieczeństwa.



Błędy TURKTRUST polegały na nieprawidłowym wydaniu dwóch certyfikatów. Zostały stworzone pośrednie certyfikaty cyfrowe CA dla *.EGO.GOV.TR oraz e-islem.kktcmerkezbankasi.org, chociaż powinny zostać wydane zwykłe certyfikaty SSL. Ponadto w obu tych certyfikatach brakuje rozszerzeń CRL lub OCSP i zostały nieprawidłowo wydane jako certyfikaty end-entity (które nie zostały wystawione przez oficjalne centrum certyfikacji). Błędy te pozwalały na wykorzystanie organu *.EGO.GOV.TR i wydanie trefnego certyfikatu dla *.google.com. Poniżej lista domen Google, których dotyczy poprawka:

*.google.com
*.android.com
*.appengine.google.com
*.cloud.google.com
*.google-analytics.com
*.google.ca
*.google.cl
*.google.co.in
*.google.co.jp
*.google.co.uk
*.google.com.ar
*.google.com.au
*.google.com.br
*.google.com.co
*.google.com.mx
*.google.com.tr
*.google.com.vn
*.google.de
*.google.es
*.google.fr
*.google.hu
*.google.it
*.google.nl
*.google.pl
*.google.pt
*.googleapis.cn
*.googlecommerce.com
*.gstatic.com
*.urchin.com
*.url.google.com
*.yo
utube-nocookie.com
*.youtube.com
*.ytimg.com
android.com
g.co
goo.gl
google-analytics.com
google.com
googlecommerce.com
urchin.com
youtu.be
youtube.com

Opisywana poprawka może wprowadzić trochę zamieszania. Producenci w różny sposób postępują wobec tego incydentu – trzy certyfikaty, które zostały zablokowane przez Microsoft, nie obejmują samego certyfikatu zaufanego głównego urzędu certyfikacji TURKTRUST. Blokada dotyczy jednak certyfikatów dla dwóch urzędów pośrednich, jak również trefnego certyfikatu dla domeny Google. Zamieszanie potęguje dodatkowo to, że niektóre systemy posiadają certyfikaty TURKTRUST włączone jako Trusted Root Certificate Authority w ich systemie Windows, podczas gdy inne nie. Ma to związek z różnicami w sposobach aktualizacji przez Microsoft swoich baz certyfikatów głównych w nowszych oraz starszych systemach Windows. W swej bazie wiedzy Microsoft opublikował artykuł zawierający pełne szczegóły dotyczące aktualizacji Microsoft Root Certificate. Wystarczy kliknąć odsyłacz i przejść do sekcji „Jak system Windows aktualizuje certyfikaty główne”, gdzie znajdują się informacje dotyczące systemu Windows Vista i Windows 7, Windows XP i głównego pakietu jego aktualizacji ręcznej, systemów Windows Server 2003, Windows Server 2008, Windows Server 2008 R2. Podsumowując, większość użytkowników, którzy nie odwiedzają stron internetowych na Bliskim Wschodzie, szczególnie w Turcji i na Cyprze, nie będzie miało zainstalowanego w swoim systemie certyfikatu Zaufanego Urzędu Certyfikacji TURKTRUST (chociaż Google nie ujawnił lokalizacji wykrytego trefnego certyfikatu). A zatem, w przeważającej mierze aktualizacja ta nie ma bezpośredniego wpływu na ich system. Ponadto, niezwykle przydatne jest tu automatyczne narzędzie aktualizacji certyfikatów opublikowane przez Microsoft jeszcze w czerwcu i dostępne dla systemów Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 oraz Windows Server 2008 R2.

Informacje o tym problemie opublikowała zarówno Mozilla, jak i Google. Google opublikował metadane dotyczące odwołania certyfikatów dla Chrome 24 i 25 grudnia w celu zablokowania obu certyfikatów Pośredniego Urzędu Certyfikacji. Na mozilla.dev.security.policy trwa dyskusja. Wydaje się, że Mozilla jest jedynym producentem z całej trójki, który całkowicie zawiesił „zaufanie” do certyfikatu głównego urzędu certyfikacji TURKTRUST: „Zawiesiliśmy również włączenie certyfikatu głównego „TÜRKTRUST Bilgi Ýletiþim ve Biliþim Güvenliði Hizmetleri A.Þ. (c) Aralýk 2007” aż do zbadania sprawy.