Ko to nije naslutio? Bilo je toliko očigledno, da besplatni HTTPS sertifiati iz Let’s Encrypt neće samo pomoći legitimnim operatorima veb sajtova da šifruju saobraćaj svojih korisnika, već da će takođe pomoći kriminalcima da gnjave nevine korisnike zlonamernim softverom preko bezbednih sajtova. Let’s Encrypt dopušta svima da nabave SSL/TLS (Secure Socket Layer/Transport Layer Security) sertifikate za svoje veb servere koji šifruju sav Internet saobraćaj između servera i korisnika.
Let’s Encrypt priznaju svi glavni pretraživači, uključujući Googleov Chrome, Mozillin Firefox i Microsoftov Internet Explorer. Ova organizacija je počela prošlog meseca svima da nudi besplatne HTTPS sertifikate, pa svako može vrlo lako da postavi HTTPS veb sajt u nekoliko jednostavnih koraka (How to Install Free SSL Cert). Međutim, najnezgodnije je to što besplatne Let’s Encrypt SSL sertifikate ne koriste samo vlasnici veb sajtova da bi obezbedili konekcije svojih korisnika, već ih takođe zloupotrebljavaju sajber kriminalci da bi širili zlonamerni softver po računarima.
Kako kriminalci zloupotrebljavaju Let’s Encrypt sertifikate?
Istraživači iz firme Trend Micro uočili su 21 decembra jednu zlonamernu reklamnu kampanju koja je instalirala na računare bankarski zlonamerni softver i koristila besplatne SSL sertifikate izdate u Let’s Encrypt da bi prikrila svoj zlonamerni saobraćaj. Zlonamerno oglašavanje (engl. malvertising) je tehnika korišćenja veb oglasa za širenje zlonamernog softvera. Neopaženim ubacivanjem zlonamernih oglasa na legitimne veb sajtove, autori zlonamernog softvera mogu da preusmere korisnike na zlonamerne sajtove kako bi isporučili zlonamerni sadržaj pomoću kompleta za primenu (engl. exploit kits).
Već duže vreme, autori zlonamernog softvera kupuju ukradene SSL sertifikate na ilegalnom tržištu i šire ih u svojim kampanjama zlonamernog oglašavanja. Srećom, ti sertifikati se kad tad uhvate, pa ih njihovi legitimni vlasnici proglase nevažećim. Međutim, od kad su se pojavili besplatni Let’s Encrypt SSL sertifikati, autori zlonamernog softvera ne moraju čak više ni da plaćaju SSL sertifikat, jer mogu umesto toga da zatraže besplatan.
Kriminalci isporučuju trojanca Vawtrack Banking Trojan
Zlonamerna reklamna kampanja koju su otkrili istraživači iz Trend Micro trajala je do 31. decembra i pogodila korisnike locirane uglavnom u Japanu. Ljudima u Japanu su isporučivani zlonamerni oglasi koji su ih preusmeravali na jedan zlonameran veb sajt koji je posluživao zlonameran softver preko šifrovanog HTTPS-a pomoću sertifikata izdatih od Let’s Encrypt. Zlonamerni veb sajt je koristio Angler Exploit Kit da bi zarazio računare svojih žrtava gadnim trojancem Vawtrack banking trojan, koji je specijalno projektovan za upadanje u onlajn bankovne naloge.
Pre instaliranja Let’s Encrypt sertifikata, napadači koji stoje iza ove kampanje osvojili su jedan neimenovan legitimni veb server i postavili vlastiti poddomen za serverov veb sajt, rekao je Joseph Chen, istraživač prevara u Trend Micro. Sajber prevaranti su zatim instalirali Let’s Encrypt sertifikat na osvojeni server i nudili zlonamerni oglas (a u njemu takođe anti-antivirusni kôd) iz tog poddomena.
Pravi način zloupotrebe Let’s Encrypt sertifikata
Stvar je u tome da Let’s Encrypt u Google’s Safe Browsing API proverava jedino glavni domen kada utvrđuje da li je domen za koji se traži SSL sertifikat prijavljen za zlonamerni softver ili lažno predstavljanje. Međutim, Let’s Encrypt nikad ne proverava skrivene domene kao u ovom slučaju u kojem su autori zlonamerne reklamne kampanje lako zatražili i dobili Let’s Encrypt sertifikat.
Štaviše, Let’s Encrypt ima politiku da ne opoziva sertifikate. Organizacija je objasnila u oktobru da sertifikaciona tela nisu opremljena za nadgledanje sadržaja i da sertifikati koje su oni izdali ‘ne govore ništa o sadržaju sajta ni o tome ko njime upravlja’. „DV (Domain Validation) sertifikati ne sadrže nikakve informacije o reputaciji, realnom identitetu, niti o bezbednosti veb sajta.“ Međutim Trend Micro se ne slaže sa ovim pristupom i tvrdi da bi sertifikaciona tela (CA – sertificate authorities) „trebalo da budu spremna da ponište sertifikate izdate nezakonitim učesnicima koji su optuženi za različite pretnje.“
Drugim rečima, trebalo bi da postoje mehanizmi za sprečavanje registrovanja neovlašćenih sertifikata za domene kao i za njihove poddomene.
Kako da se izbegnu takvi napadi?
Trend Micro je obavestio kako projekat Let’s Encrypt, tako i legitimnog vlasnika domena o ovoj kampanji zlonamernog oglašavanja.
A šta vi da uradite?
Korisnici bi morali da budu svesni da ‘bezbedan’ veb sajt nije uvek ili nije obavezno i siguran veb sajt i da je najbolja odbrana od kompleta za primenu još uvek uobičajena:
- Uvek vodite računa da vaš softver bude ažuran i tako svedite na minimum broj ranjivih mesta koje sajber kriminalci mogu da iskoriste.
- Za onlajn brokere reklama, jedan pristup bi bio da primene interne kontrole za sprečavanje zlonamernog oglašavanja.