VeriSign to amerykańska firma, która odpowiada za rejestry domen, takich jak .com, .gov czy .net, przetwarza blisko 50 milionów zapytań dziennie i jeszcze do niedawna była jednym z największych dostawców certyfikatów SSL. Okazuje się, że VeriSign padła ofiarą wielokrotnych ataków ze strony hakerów, którzy wykradali z jej serwerów informacje. Jakie to informacje były i czy bezpieczeństwo stron internetowych na całym świecie nie jest zagrożone?

Ataki zostały przeprowadzone, uwaga: w 2010 roku, ale dopiero teraz opinia publiczna się o nich dowiaduje. Zostały one ujawnione przy okazji kwartalnego raportu dla SEC – amerykańskiej Komisji Papierów Wartościowych i Giełd. Firma przyznała się do faktu, że została zaatakowana, ale na razie nie wiadomo, jakie dokumenty i pliki zostały jej ukradzione, i w tej sprawie, każdy, kto może milczeć, korzysta z tej okazji. Na razie płyną tylko uspokajające komunikaty, że certyfikaty zabezpieczeń VeriSign nie zostały złamane. Wygląda jednak na to, że gdzieś ochrona zawiodła.

Smaku całej sprawie dodaje fakt, że, jak wspomniałem wcześniej, VeriSign było jednym z największych dostawców SSL na świecie i dopiero w 2010 roku sprzedała ten dział firmie Symantec (dziwna zbieżność dat, prawda?). Jedna i druga firma zapewniają oczywiście, że bezpieczeństwo certyfikatów nie zostało naruszone i że można spać spokojnie. Ale o tym, co dokładnie się stało wciąż nic nie wiadomo.

Trudno sobie wyobrazić konsekwencję, gdyby w ręce hakerów dostały się informacje kluczowe dla bezpieczeństwa naszych danych w internecie. Dobrze skwitował to Steward Baker, były zastępca Sekretarza Departamentu Bezpieczeństwa Wewnętrznego, który na wieść o całej sytuacji zareagował:

O mój Boże. To może pozwolić im podszyć się pod niemal każdą firmę w sieci

Swoje trzy grosze dorzucił także Dmitri Alperovich, prezes Asymmetric Cyber Operations, który stwierdził, że gdyby SSL zostało złamane, to:

można by stworzyć certyfikat Bank of America czy Google, które zostałyby zaakceptowane przez wszystkie przeglądarki na świecie

Nawet jeżeli takie zagrożenie w tym przypadku nie ma miejsca, to nie znaczy, że nie będzie podobnego, bardziej skutecznego ataku w przyszłości. Prowadzi to do pytania o poziom bezpieczeństwa internetu, pytania, na które nie ma dobrej odpowiedzi. Jednak dość bulwersujący jest fakt, że tak istotne dla funkcjonowania światowego internetu narzędzia znajdują się niemal poza jakąkolwiek kontrolą, w rękach prywatnych podmiotów. I nie chodzi mi tutaj o nacjonalizację tego typu instytucji prywatnych, ale o fakt większej nad nimi kontroli. Skoro przez tyle czasu informacja o ataku na jedną z najbardziej kluczowych firm była utajniona w taki czy inny sposób, to w jaki sposób państwo może szybko reagować na ataki zagrażające po części również jego bezpieczeństwu?

Warto również zastanowić się nad tym pytaniem w czasach, kiedy ataki hakerskie stają się często elementem działań wojennych czy szpiegostwem prowadzonym sprzed monitora.

Fota [1],[2]

Spodobał Ci się tekst? Poleć znajomym:

Tagi: , , ,

iStore

iStore

  • http://ddarko.org/ DDarko

    Cała infrastruktura internetu wydaje się dziś do wyrzucenia i zaprojektowania od nowa :]

    IP – powoli, mozolnie przechodzi na v6.

    TCP – nie jest zoptymalizowane do przesyłania HTTP, problemu z cyklu slow-start, itp.

    DNS – nadzorowane przez jedną organizację, podatne na ataki. Oraz, to że trzeba w darmowym internecie płacić za domenę ! DNSSEC nie rozwiązuje większości problemów. IMHO do wywalenia i stworzenia od podstaw.

    HTTP – szkoda o tym w ogóle mówić, na szczęście pojawiają się projekty jak SPDY.

    HTTPS – Próba szyfrowania HTTP, niby ok, ale trzeba zapewnić jeszcze wiarygodność źródła i tu pojawia się CA, które jest podobnie jak DNS do niczego. Scentralizowane, zarządzane przez niekompetentne organizacje (VeriSign), płatne i co najgorsze bardzo podatne na ataki.

    Fundament internetu powinien przypominać sieć P2P. Wystarczą dwa komputery połączone siecią i wszystko powinno działać. A tu mamy rejestratora domen, do którego można się włamać i wykraść domeny. Można wykraść certyfikaty…

    Niestety nikt jeszcze nie zaproponował wystarczająco dobrej alternatywy.

  • Paweł

    DDarko: HTTP, problemu z cyklu slow-start

    Rozwiniesz temat? Slow-start był problemem w daaaawno temu.

    • http://ddarko.org/ DDarko

      Chciałem przytoczyć hasło, które powinno być znane większej rzeczy ludzi… nie chodziło mi, o to by na tej stronie wchodzić w szczegóły techniczne.

      Ogólnie jest cały temat: http://en.wikipedia.org/wiki/TCP_tuning

      Ale te wszystkie działania są tak jakby uciekaniem od problemu, rozwiązaniem na skróty.

  • http://ddarko.org/ DDarko

    Właśnie o to mi chodzi.
    To są wszystko „sztuczki”.
    np: „sprajty… unikanie pobierania małych danych” – łączenie wielu obrazków w jeden i unikanie wielu żądań, to jest nic innego jak optymalizacja na poziomie HTTP/aplikacji. Ale, po pierwsze musisz o tym myśleć (czasem framework myśli za Ciebie) nie mniej jednak nie jest to natywne. Nie jest to częścią standardu HTTP. Nie ma tam mowy, że trzeba łączyć 3 obrazki i potem w CSS je rozdzielaj. Po drugie, nawet wykorzystanie tych sztuczek nie pozwala w 100% wykorzystać rzeczywistą przepustowość łącza.

    Zaś SPDY pokazuje, że można lepiej. Robiąc stronę nie martwisz się w jaki sposób te obrazki połączyć. Po prostu robisz stronę i protokół już załatwia „keep-alive” i lepsze wykorzystanie pasma.
    Tylko, że SPDY jest alternatywą dla HTTP/HTTPS, zaś na warstwie TCP jest również sporo do zrobienia.

    Gdy te wszystkie warstwy zostaną poprawione internet i przeglądanie stron przy obecnych łączach mogło by być w czasie rzeczywistym.

    Na pewno sporo os. z was ma łącze powyżej 6 mbps. Wchodzicie na stronę www, która waży mniej niż 2 mb i ładuje ją 6 s. Czy to nie dziwne ?!

    Ale odeszliśmy od tematu bezpieczeństwa i certyfikatów … :]

  • sok

    DDarko: DNS – nadzorowane przez jedną organizację, podatne na ataki. Oraz, to że trzeba w darmowym internecie płacić za domenę !

    Darmowy internet?? Ciekawe… Ja płace kilkadziesiąt zł miesięcznie.
    Płacić za domene? Skandal… Może email i hosting także powinien być w darmowym internecie za darmo. W końcu numer telefonu i iphone’a dostałeś od swojego operatora za darmo prawda???

    • http://ddarko.org/ DDarko

      Płacisz za łącze, a nie za internet. Dla mnie, to różnica.

      E-mail pewnie masz za darmo. Hosting jeśli masz publiczne IP od ISP i kompa 24h/dobę włączonego, to też nie problem mieć za darmo.
      Zaraz wyskoczysz z hasłem że prąd kosztuj :]

      Nie twierdzę, że wszystko powinno być za darmo.
      Jak chcesz profesjonalny hosting płać, ale samemu za darmo możesz sobie w domu serwer postawić. Natomiast domeny (użytecznego TLD) nie rozgłosisz.

    • Paweł

      Dużo płacisz za sok@[setki darmowych dostawców kont e-mail]?

      PS. „za internet” płacą tylko dzieci neostrady, cała reszta płaci za linkę

    • http://ddarko.org/ DDarko

      Może, to i dobry pomysł :]
      Płacić za internet i pod koniec miesiąca … rachunek za wszystkie strony, które odwiedziłeś oraz pliki które piracko ściągnąłeś.

      oj AW by wystawił ładny rachunek za każdy komentarz.
      Chcesz komentować użytkowniku … płać !

      To chyba by rozwiązało problem piractwa w sieci i było by sposobem na pobieranie opłat za usługi internetowe.

    • t__w

      @DDarko:
      „Płacisz za łącze, a nie za internet. Dla mnie, to różnica.”

      A czymże innym jest internet, jak nie łączami? Zawsze jest jakieś łącze.Łącza to internet.Serwery bez łączy to zwykłe komputery.

    • http://www.bazzers.com Smacznego

      „numer telefonu i iphone’a” <- lolololol

  • sok

    DDarko: Natomiast domeny (użytecznego TLD) nie rozgłosisz.

    No wlasnie – kto Twoim zdaniem mial by utrzymac cala infrastrukture niezbędną do propagacji i utrzymania systemu DNS? Zebys mial za darmo??
    WIekszej bzdury na kółkach nie slyszalem.

    • http://ddarko.org/ DDarko

      Napisałem: „Fundament internetu powinien przypominać sieć P2P.”

      To, że czegoś sobie nie wyobrażasz (bo się na tym nie znasz nie znaczy, że jest bzdurą).
      Przeczytaj sobie, np:
      http://www.komputerswiat.pl/nowosci/internet/2010/48/powstaje-tajna-bron-piratow.aspx

    • http://ddarko.org/ DDarko

      Jeszcze dodam, dla nie wtajemniczonych :]
      DNS jest za darmo i wszyscy dostawcy ISP, go propagują za darmo. Większość rejestratorów domen udostępnia go za darmo (dla wykupionej domeny oczywiście). Organizacje IANA i ICANN nie są nastawione na zysk z tego tytułu. Nie widziałem by jakaś firma hostingowa pobierała opłaty za dostęp do DNS (nie mówię o zmienianiu rekordów).

      Opłaty są pobierane natomiast za prawo dzierżawy domeny. Teoretycznie domena jest wasza, ale NASK (w Polsce) ma prawo wam ją odebrać i niewiele można z tym zrobić. Opłata za domenę jest w każdym kraju inna i przeważnie symboliczna. Nie jest ona wprowadzona wyłącznie po to by opłacić infrastrukturę NASKu, ale po to by jedna osoba nie wykupiła 10000 domen. Po to by każdy się zastanowił czy dana domena jest mu potrzebna zanim wykupi domenę i wyda te parę złotych.

      Ale może da się te problemy rozwiązać inaczej … niż przez płacenie corocznej daniny ?!

      Ciekawym przykładem jest Bitcoin, wyobraźcie sobie że każdy może się zgłosić do utrzymywania części globalnego DNSu i jeszcze by na tym zarabiał…