美國FBI於今年3月協助追查Comodo憑證事件,發現該公司遭駭客線上利用竊取的代理商帳密去申請一些知名公司的憑證,其中憑證代理商在PKI架構下稱為RA(Registration Authority) 一般稱為註冊管理中心,可以代替用戶向CA(Certification Authority)憑證中心申請憑證,而這些憑證可以用於網站的SSL/HTTPS 應用上,也可做為單位寄送電子郵件時做加密與簽章的保護等。
Comodo在事後已發布該事件調查結果,發現總共被發行了9個憑證(涵蓋7個網域),包含mail.google.com、www.google.com、login.yahoo.com、login.skype.com、addons.mozilla.org、login.live.com、global trustee。報告中提到的CA架構與密碼安全模組(HSM)中的金鑰並未遭受破壞或入侵。也鎖定了駭客可能的來源是伊朗(圖1),這些憑證很快地就被註銷,並通知相關主要的網域商與瀏覽器廠商。
.jpg)
圖1 Comodo報告中對於駭客來源的IP資料
憑證管理問題
電子前鋒基金會(EFF, Electronic Frontier Foundation)在2010年的DefCon會議上,發表了SSL觀測考察計畫 (SSL Observatory),EFF蒐集了在網際網路上使用的SSL憑證,而且將SSL用戶和伺服器間的往來數據記錄成資料庫進行分析。
除了部分CA本身在2009年被發現存在漏洞與弱點,另外EFF提到現在世界上有太多根憑證中心(root CA),導致信任關係很容易受影響,當周圍有些管理不善的CA業者將憑證發給未受規範的網站網域。例如localhost、exchange這一類原本不該出現在憑證主體中的名稱等,總計約三萬七千多筆。而這些CA之間不論優劣都還是彼此互相信任的,所以就會導致信任環裡面出現瑕疵。定義憑證相關的X.509標準,早在1980年代即制定,時間上比HTTP通訊還早。因此EFF也認為,應該要思索是否有新的替代技術或管理方式,以規範網際網路上信賴環境的運行。
當我們瀏覽一個網頁時,如果透過HTTPS協定,便會採用該網站的憑證去驗證該網站為真,因為CA憑證中心幫我們在發證時驗證該網站。但是如果憑證中心可以不經過驗證網站的程序,這樣整個信賴系統就會中斷。這邊的驗證只是確認該網站的真實性,並非其安全性,所以還是可能發生正常網站上面發現有惡意網頁或惡意掛馬的存在。
憑證安全事件不只是偶發事件,早在2010年10月底,VeriSign的一次升級作業導致其經銷體系下的GeoTrust 和 RapidSSL 的 SSL 憑證發生錯誤頒發,而出現漏洞。因為提供了自動「主體備用名稱」(SANs)功能,可以自動將主網域以及次網域作為主體備用名稱。但是現實環境中,很多次網域並非與主網域相同擁有者所使用,因此會導致混亂。例如test.abc.com 並不一定是abc.com所使用,但是透過SANs會導致這兩個憑證間的互通,可能會導致中間人攻擊(MiTM)而竊取SSL通訊的內容。
記取Comodo教訓 別重蹈覆轍
在這個案例中,從資訊安全角度來看,資安專家建議應該有以下幾點的體悟:
1. 系統安全由點而面,一點突破則全面淪陷:程式本身不應該把帳號密碼撰寫於其中,在系統安全設計的架構上,把含有帳密的程式置於用戶端,又可以直接存取系統資料庫實乃不智之舉。
2. 稽核檔案應分離於安全的存放處:許多案例中都會發現,入侵者一旦入侵成功之後,便會試圖將可能找到軌跡的資訊刪除,即便發現了入侵現象也難以快速地找出問題所在與攻擊來源。Log備份應該切離網站本體,避免發生遭刪除而無法調查。
3. 網站本身的安全檢視:對於一個線上服務的經營者而言,網站本身就是企業的命脈,不論是上線前或者是定期檢查,都應該好好重視生財工具的安全與完整性,定期巡視則是因應攻擊手法與弱點的不斷翻新,確保不會成為新攻擊手法的受害者。
4. 用戶端安全與社交工程的釣魚防範:現在最直接也是成本最低的入侵手法,是對於用戶端的入侵,可以透過的管道不外乎惡意電子郵件與惡意網頁,對象可以是高層主管(可參考鬼網(Ghostnet), Google極光, Night Dragon事件)、業務人員、工程師與資訊人員。因此,在用戶端的保護與定期檢查也是確保企業安全的必要措施。此外,對於人員的大腦與習慣的修補(patch),則可以透過資安意識訓練強化之。
後來該名自稱年紀21歲的駭客,在pastebin的平台上以COMODOHACKER發布了多篇訊息,說明事件經過始於InstantSSL.it網站先被入侵成功,取得Comodo網站API以及資料庫的資訊,而後申請了9張憑證。該篇文章中多次使用「我們」 (we),是否透露出不只一位駭客所為?但其強調與伊朗網軍(Iranian Cyber Army)無關,是否也間接證實了伊朗網軍的存在?
本次入侵能成功的原因,據駭客所言,其關鍵在於TrustDll這一個提供給RA的程式,竟然將資料庫的帳號密碼寫死在程式中(圖2),對於一般系統開發與資安人員來說,這樣的作法可是犯了兵家大忌,等於是把自己的大門鑰匙放在腳踏墊下。同時,Comodo報告中對於該駭客曾經遠端遙控義大利代理商的電腦並且格式化其外接備份硬碟一事則無描述。而駭客似乎不因此而滿足,還刪除了所有網站的log檔案,並且使用secure delete方式,使被刪除的檔案無法透過還原工具復原。
網際網路安全鏈 緊繫社會安定 近一年來重大入侵事件頻傳,值得我們好好思考在資訊與網際網路應用上,一直存在的威脅與危機的發展現況。目前網路威脅大多以賺錢為目的之黑市為主,像是殭屍網路、惡意網站等,或者透過垃圾郵件與網路釣魚騙取用戶身分與機密;另一種則是駭客主義的發酵,以往在民族主義較盛行的國家,會發現駭客主義的狀況較明顯,沉寂了幾年之後,輪到第三世界的年輕駭客站出來講話,也要注意其與恐怖攻擊團體的合流,恐怕會有更大的人為災情出現。
網際網路猶如雙面刃,好的應用居多,像是今年3月的日本地震告警資訊已經擴展到透過網際網路的方式來傳遞,另外美國政府也規劃將恐怖攻擊的警報系統連結於熱門的社交網站。像是Comodo這樣的事件,嚴重發展下去亦可能毀壞整個網際網路所仰賴的信任機制,主事者必須以預防損失災害的角度與高度,來審視資訊安全的風險與預防作為。
網際網路的安全鏈亦是應用安全的信任根源,在於網域名稱系統(DNS)、網路路由與PKI之憑證應用,以及通訊協定、應用的安全設計等。在《維基揭密》一書(註)中提到,網際網路把參與政治活動的障礙降低了,網路已經變成一個新的舞台, 用來提供與獲得資訊、交友、交易甚至是搞革命已經都變成是可能的,所以在威脅面上勢必有更多的力量介入,網際網路的安全信賴鏈則應該從國家安全角度來重新思考審視布局。
註:《維基揭密:從地下駭客到挑戰世界強權的超級媒體》,馬塞爾.羅森巴赫(Marcel Rosenbach)、霍爾格.斯塔克(Holger Stark)著,時報出版。