До обнаружения вируса Flame, многие ИТ-руководители не осознавали наличие скрытой угрозы в неэффективном управлении цифровыми сертификатами безопасности.
Случаи несанкционированного вторжения в системы и кражи данных становятся все более частыми, и многие организации страдают от их последствий, теряя доходы, утрачивая интеллектуальную собственность, получая претензии от пользователей или ощущая урон, наносимый торговой марке компании. Ключевая проблема здесь состоит в том, что по мере усложнения технологий защиты, становятся все более сложными и технологии атак злоумышленников.
Хакеры активно ищут новые уязвимости в системах и создают новые методы для их дискредитации. В последнее время одними из таких целей становятся цифровые сертификаты, особенно в случае компаний, которые преимущественно используют такие сертификаты для обеспечения безопасности коммуникаций внутри ИТ-систем.
Из многих проблем, касающихся сертификатов, одна из них связана с организациями, обладающими правами их выдачи, такими как VeriSign, Network Solutions, GeoTrust и десятками аналогичных. Большое количество таких организаций и риски, связанные с их дискредитацией, являются источником беспокойства для многих ИТ-руководителей.
Проблема состоит в данном случае в том, что органы сертификации могут быть скомпроментированы как таковые, что имело место, например, с такими организациями, как DigiNotar, Comodo и DigiCert. Эти случаи могут оказаться только верхушкой айсберга, а возрастающее количество случаев такого рода означает только одно — злоумышленники поставили на промышленную основу способы дискредитации органов, выдающих сертификаты.
Компания Microsoft признала, что в 2012 г. злоумышленники смогли воспользоваться внутренними ее сертификатами, получив доступ к подсистеме распространения патчей, и выполнить атаку типа MITM (a-man-in-the-middle), что позволило внедрить вредоносное ПО на несколько тысяч компьютеров. В этом случае, компьютеры были заражены печально известным вирусом Flame, который позволяет незаметным образом собрать и передать наружу информацию с компьютера. Этот случай показал, что в компании Microsoft применялись уязвимые сертификаты, подпись для которых генерировалась слабым алгоритмом.
В последний год, по меньшей мере, с пятью органами сертификации произошли аналогичные случаи, что позволило, в частности, хакерам перехватывать весь трафик, входящий на определенный веб-сайт, защищенный подмененным сертификатом. Таким образом, при общем повышении доверия к использованию сертификатов существует тем не менее вероятность отказов систем из-за их недостоверности, последствия которых сравнимы с последствиями других типов нарушения систем безопасности. Влияние такого рода проблем может быть в значительной степени ослаблено путем применения упреждающих мер, которые в обычном случае рассматриваются организациями как второстепенные.
Неудовлетворительная политика управления сертификатами
Исследовательская компания Gartner рекомендует организациям оценивать влияние на их деятельность инцидентов, связанных с цифровыми сертификатами. Простое аннулирование сертификатов может оказаться не таким простым делом, как оно выглядит на первый взгляд. Многие организации утратили контроль за своими сертификатами вследствие неупорядоченной работы с ними.
Эрик Оулле и Вик Витмэн, вице-президенты компании Gartner, отметили, что часто при наступлении последствий истечения срока действия сертификатов, во многих организациях в первую очередь обращают внимание на отказы аппаратуры или на проблемы с ПО, и только после этого начинают искать причину ошибки в использовании сертификатов стандарта X.509 с истекшим сроком действия. Это обычно приводит к большим задержкам в определении и устранении базовой причины отказа системы.
Когда происходит злоумышленная подмена сертификатов, находится множество виновных в этом сторон. Иногда ответственными за случившееся называют людей, отвечающих за обеспечение безопасности в системах, иногда виноватыми назначают вендоров ПО, а в иных случаях и конечных пользователей, которые не смогли обеспечить эффективную защиту доступа к хранилищам сертификатов. Тем не менее, основная причина может заключаться в неудовлетворительной политике управления сертификатами.
Основная уязвимость сертификатов безопасности состоит в управлении этими сертификатами, а не в самих сертификатах как таковых или в базовых технологиях обеспечения безопасности — в конце концов, доказано, что методы шифрования и защиты обладают очень высокой надежностью.
Когда злоумышленник может управлять сертификатом, или способен его подделать или сделать его недействительным, то все преимущества использования цифровых сертификатов становятся лишь теоретическими. Дополнительные проблемы появляются, когда у сертификатов истекает срок действия: если это не отслеживать и вовремя их не возобновлять, то в системах с потерявшими силу сертификатами могут происходить сбои. Разрешение такого рода ситуаций требует упреждающего подхода, но понимание первопричин проблем, связанных с сертификатами, есть первый шаг в этом направлении.
Проблемы такого вида можно сформулировать следующим образом: в промышленных компаниях часто не знают сколько сертификатов они имеют и где они хранятся. Это усложняет процедуру управления ими.
В ряде организаций принимаются стандарты обеспечения безопасности, в которых определяются длина ключей и алгоритмы шифрования. Очень часто, специалисты в области безопасности испытывают трудности в выборе длины ключей — 1024 или 2048 бит.
Ключи шифрования используются в протоколе SSH для удаленного входа на Unix- и Linux-системы. Ряд аудиторских организаций уже указали на риски, связанные с применением SSH.
Угрозы, связанные с ключами шифрования
За последние 16 лет использование сертификатов приняло взрывной характер — они применяются как внутри систем, так и для взаимодействия между системами, как на роутерах, так и в программных приложениях. Это обострило проблему управления сертификатами, в частности, потому, что сертификаты и связанные с ними ключи шифрования используются ручным образом. Более того, неправильное управление ключами для шифрования создает такую же угрозу безопасности, как и неправильное управление самими сертификатами.
При использовании ключей для шифрования, данные шифруются и дешифруются с помощью ключей двух видов — секретный ключ используется для шифрования данных, а открытый ключ (используемый принимающей стороной) применяется для дешифровки. Т. е., обладание этими ключами есть путь к получению доступа к конфиденциальной информации, а потому они должны надежно охраняться.
Опрос 471 старшего менеджера в области безопасности, проведенный сертифицирующей организацией Venafi, показал, что 54% респондентов сталкивались в своих организациях с ситуацией, когда ключи для шифрования либо были украдены, либо оказывались неучтенными. ИТ-менеджеры, технические директора и начальники информационных служб часто использовали возможности перехода к ключам большей длины в целях повышения безопасности систем и защиты данных, но это иногда давало неоднозначные результаты: злоумышленные вторжения продолжали иметь место и количество их только увеличивалось.
Компания Gartner выпустила исследовательский отчет “Управление сертификатами на основе стандарта X.509: устранение рисков и ущерба репутации”, в котором даются рекомендации, касающиеся безопасности при использовании сертификатов. “Организации, в которых используется порядка 200 или более выпущенных сертификатов на основе стандарта X.509, входят в группу высокого риска, связанного с незапланированным истечением срока действия сертификатов или с сертификатами, которые были затребованы, но так и не были введены в действие. В этом случае, организации должны как можно скорее начать формализованную процедуру истребования сертификатов”.
“Автоматизированная процедура проверки сертификатов и их обновления позволит минимизировать риск от последствий незапланированного истечения срока действия сертификатов. Ручное или автоматизированное управление сертификатами должно быть использовано для повышения ответственности в применении X.509-сертификатов в организациях”.
“Компаниям необходимо иметь реестр X.509-сертификатов и эмитентов сертификатов, чтобы минимизировать ущерб при дискредитации сертификатов, подозрениях на дискредитацию или при прямых атаках, что испытали на себе в последние 18 месяцев некоторые организации, занимающиеся выпуском сертификатов. Кроме того, компании должны иметь четко прописанные планы того, что нужно делать, когда произошла дискредитация органа сертификации и, тем самым, нарушена система безопасности”.
Защита организаций от нарушения их системы безопасности и временного бездействия, вызываемого такого рода инцидентами, требует упреждающих действий на основе здравого смысла и ситуационной информированности. Компании, которые взяли курс на эффективные технологии обеспечения безопасности, будут лучше подготовлены для отражения атак и угроз более изощренного типа.