luni, 12 septembrie 2011

Cum sa va protejati de falsificatorii de certificate SSL

Au existat doua mari atacuri anul acesta asupra Autoritatilor de Certificare (AC) majore. In martie, un hacker a patruns cu succes in baza de date a uneia dintre cele mai importante AC de pe web (Comodo) si a reusit sa-si procure certificate false (inclusiv unul pentru Yahoo). Al doilea incident a avut loc in aceasta luna atunci cand AC olandeza, Diginotar, a fost compromisa si un numar de certificate false au fost eliberate.

Deci, cum are loc un atac asupra unei AC? Falsificatorii de certificate patrund in baza de date a unor societati cum ar fi Comodo si Diginotar, care elibereaza certificate digitale pe care browserul dvs. le utilizeaza pentru a verifica identitatea unui site. Aceste certificate spun browserului dvs. ca site-ul poate este "sigur", ca nu este periculos. Falsificatorii de certificate, cu toate acestea, pot submina tot acest proces prin emiterea de certificate false ce le permit sa se "deghizeze" in site-uri "sigure", cum ar fi Google, Mozilla, Skype si AOL.

Iata patru moduri prin care puteti sa va protejati de hackerii ce folosesc certificate frauduloase:

1. Pastrati browser-ul updatat.

Creatorii de browsere reactioneaza rapid la vestea atacurilor asupra AC si le blocheaza certificatele acestora prin implementarea de remedieri la produsul lor. Desi unele browsere fac acest lucru cu actualizarile automate, altele necesita actualizarea manuala. Aflati daca browser-ul dvs. se actualizeaza automat sau nu si asigurati-va ca rulati cea mai recenta versiune a sa. Cu cat browser-ul dvs. este actualizat mai repede cu atat mai repede atacurile hackerilor vor fi contracarate.

2. Activati revocarea certificatului in browser-ul dvs.

in unele browsere, revocarea unui certificat sau verificarea starii acestuia este dezactivata in mod implicit. Daca acesta este si cazul dvs., atunci activati aceasta optiune. Atunci când un CA detecteaza o problema, va revoca imediat certificatul respectiv. Singura modalitate prin care browser-ul dvs. poate determina daca un certificat a fost revocat - si sa va avertizeze cu privire la revocarea sa - este in cazul in care verificatorul de stare este activat.

3. Particularizati certificatele root din browser-ul dvs.

Cele mai multe browsere includ in mod implicit o serie de "certificate root". Acestea au rolul de a accepta automat toate certificatele de la o anumita AC. De exemplu, in cazul recent DigiNotar, un certificat root pentru aceasta AC instalat pe un browser ar permite ca toate certificatele emise de catre acesta sa fie trecute mod automat ca fiind de incredere, chiar si cele false. Luand cunostinta de aceasta, creatorii principali de browsere web -Microsoft, Mozilla si Google- au eliminat rapid certificatul root pentru DigiNotar din produsele lor. In unele browsere, puteti dezactiva manual certificatele root desi acest lucru va poate pune rabdarea la incercare. Pot exista mai mult de 100 de certificate root intr-un browser si editarea setarilor de incredere pentru fiecare in parte poate fi stresanta si de lunga durata.

4. Intotdeauna verificati bara verde din bara de adrese a browser-ului.

Acesta este un semn ca certificatul pentru URL-ul din bara de adrese a fost supus unui proces de "extindere a validarii". Nu toate site-urile au asa ceva, doar site-urile renumite.
"Aceasta reprezinta asigurarea dvs. ca titularul certificatului a trecut printr-un proces foarte riguros de autentificare si verificare. Prin definitie, certificatele EV (extended validation) nu pot fi eliberate imediat. Acestea trebuie sa fie verificat de catre specialisti" a explicat directorul tehnic al Symantec, Rick Andrews

Sursa: pcworld.com

Niciun comentariu:

Trimiteți un comentariu