Το προφίλ μας στο Google Plus
0

Δωρεάν πιστοποιητικό από το Let’s Encrypt, για κακόβουλη χρήση

Τον μη-κερδοσκοπικό οργανισμό Let’s Encrypt εκμεταλλεύτηκαν κακόβουλοι χρήστες, προκειμένου η απάτη τους στο Internet να είναι πιο αποτελεσματική.

Δωρεάν πιστοποιητικό από το Let's Encrypt, για κακόβουλη χρήση | Image Credit: Peter Sayer

Ερευνητές της Trend Micro αποκάλυψαν την προηγούμενη Τετάρτη πως στις 21 Δεκεμβρίου εντόπισαν επίθεση για την εγκατάσταση banking malware, στους υπολογιστές ανυποψίαστων χρηστών. Οι επιτιθέμενοι είχαν καταλύσει την ασφάλεια νομότυπου δικτυακού τόπου και είχαν δημιουργήσει ένα νέο subdomain, το οποίο οδηγούσε σε server υπό τον έλεγχό τους. Οι επισκέπτες του νομότυπου site έβλεπαν διαφήμιση που οδηγούσε σε δικτυακούς τόπους όπου εφιλοξενείτο το Angler exploit kit. Αποστολή του εν λόγω kit είναι η αναζήτηση αδυναμιών με στόχο την εγκατάσταση malware.

Το subdomain των επιτιθέμενων χρησιμοποιούσε ένα πιστοποιητικό που είχε εκδοθεί από το Let’s Encrypt, έναν οργανισμό υπό την αιγίδα του ISRG (Internet Security Research Group) και με την υποστήριξη, μεταξύ άλλων, των Mozilla, Electronic Frontier Foundation, Cisco και Akamai. Το Let’s Encrypt αποτελεί το πρώτο μαζικό εγχείρημα για την έκδοση δωρεάν πιστοποιητικών, με στόχο την αναβάθμιση της ασφάλειας παντού στο Internet.

Οι ερευνητές της Trend Micro επισημαίνουν ότι ανέμεναν παρόμοιες κινήσεις εκμετάλλευσης του Let’s Encrypt. Στο συγκεκριμένο περιστατικό, η κρυπτογράφηση της κυκλοφορίας προς τον κακόβουλο server έκρυβε σε ικανοποιητικό βαθμό τις δραστηριότητες των επιτιθέμενων.

Αν και η ανάκληση των ψηφιακών πιστοποιητικών είναι τεχνικά εφικτή, οι Αρχές Πιστοποίησης (Certification Authorities) δεν έχουν τη δυνατότητα επίβλεψης του διακινούμενου περιεχομένου κι έτσι η πολιτική του Let’s Encrypt είναι να μην προχωρά σε ανακλήσεις. Ο οργανισμός, ωστόσο, κάνει χρήση του Safe Browsing API της Google, προκειμένου να ελέγχει αν το domain για το οποίο ζητείται πιστοποιητικό έχει χαρακτηριστεί ως κακόβουλο. Εκπρόσωπος του Let’s Encrypt σημειώνει ότι ακόμη κι αν ο οργανισμός προχωρούσε σε ανακλήσεις πιστοποιητικών, αυτό δεν θα εμπόδιζε τους κακόβουλους χρήστες να λαμβάνουν πιστοποιητικά για άλλα domains.

Πηγή: CSO

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων