Când certificatele aferente adresei 1.1.1.1 ajung în mâini nepotrivite, impactul poate fi grav; această situație se petrece în universul infrastructurii internet și are implicații pentru Cloudflare, Microsoft și autoritățile care emit certificate digitale. De-a lungul timpului, sistemele de încredere online au evoluat pentru a confirma identitatea site-urilor, de la primele certificate digitale până la log-urile publice de transparență, însă atunci când aceste mecanisme dau greș, utilizatorii pot rămâne vulnerabili.
Expertul în TLS și infrastructuri cu chei publice Ryan Hurst a declarat pentru Ars că deținătorii certificatelor pentru 1.1.1.1 ar putea exploata aceste credențiale pentru atacuri active de tip adversary-in-the-middle, interceptând și alterând comunicațiile dintre utilizatori și serviciul DNS al Cloudflare. Un astfel de atac implică adesea o deturnare BGP, adică difuzarea unor rute false în Border Gateway Protocol pentru a păcăli rețelele să trimită traficul către adresa IP compromisă. BGP a fost în trecut un punct slab folosit pentru a prelua controlul asupra unor adrese IP ale unor bănci, operatori telecom sau furnizori de internet. Comentariile celor care au semnalat problema sugerează, pe bună dreptate, că există și alte modalități prin care aceste certificate pot fi folosite pentru atacuri de tip intermediar.
Odată obținute aceste certificate, atacatorii ar putea decripta, vizualiza și modifica traficul care trece prin serviciul DNS al Cloudflare. Hurst a subliniat că și serviciul WARP VPN al Cloudflare ar putea fi afectat similar, ceea ce extinde zona de risc dincolo de simplele interogări DNS. Descoperirea comunicată miercuri scoate în evidență deficiențe majore ale infrastructurii de chei publice care stă la baza încrederii pe internet. Certificatele sunt menite să asigure, în teorie, că site-uri precum gmail.com, bankofamerica.com sau irs.gov sunt operate de entitățile care pretind acest lucru; atunci când sistemul de validare este compromis sau greșește, această garanție devine ipotetică.
Autoritățile de certificare (CA) trebuie să furnizeze adresele IP folosite pentru verificarea unei cereri de certificare, pentru a demonstra că solicitantul controlează acea adresă. Niciuna dintre cele trei certificate semnalate nu include această informație, ceea ce indică lipsă de transparență și proceduri de verificare deficiente. De asemenea, imaginea Microsoft are de suferit din cauză că nu a identificat certificatul eronat și pentru că Windows a continuat să-l considere de încredere pentru o perioadă îndelungată. Cloudflare și actorii din ecosistemul PKI au și ei responsabilitatea lor: toate certificatele emise sunt înregistrate într-un log public de transparență tocmai pentru a permite detectarea rapidă a emiterilor greșite. Faptul că aceste certificate au fost sesizate public abia la patru luni după emitere sugerează că log-urile de transparență nu au fost suficient monitorizate sau nu li s-a acordat atenția necesară.
Această situație readuce în discuție fragilitatea mecanismelor care susțin încrederea online. În contextul 1.1.1.1 nu vorbim doar despre o adresă IP, ci despre un nod esențial al infrastructurii DNS gestionat de Cloudflare, iar existența unor certificate emise incorect arată că verificările, de la CA la operatorii de sisteme și log-urile publice, trebuie întărite. Monitorizarea riguroasă a log-urilor de transparență, proceduri mai stricte pentru validarea controlului asupra adreselor IP și reacții mai rapide din partea furnizorilor de sisteme de operare ar reduce spațiul de manevră al atacatorilor. Exemple clare sunt entitățile implicate: Cloudflare, Microsoft, Ryan Hurst și log-urile de transparență; și dimensiunea temporală: o descoperire făcută la patru luni după emitere.
Dacă 1.1.1.1 a fost privită ca un punct sigur pentru DNS, e evident că nu e prudent să ne bazăm exclusiv pe un singur mecanism de verificare. Ce măsuri concrete crezi că ar trebui să adopte Cloudflare sau Microsoft pentru a preveni astfel de incidente în viitor?
Fii primul care comentează