Исследование того, как предприятие обрабатывает и развертывает сертификаты безопасности, выявило риски для данных, которые могут быть упущены из виду.
В четверг команда Detectify Labs опубликовал отчет на основе первоначального анализа публичных сертификатов SSL / TLS, проведенного с июня 2021 года.
Команда утверждает, что при развертывании этих сертификатов существуют «подводные камни», которые «могут привести к раскрытию или компрометации данных компании злоумышленниками».
Сертификаты SSL / TLS, выпущенные центрами сертификации (ЦС), используются для аутентификации и защиты соединений, выполняемых через браузер. Шифрование используется для защиты коммуникационных потоков во время онлайн-сессий.
Когда передается важная информация, включая отправку личных данных или выполнение финансовых транзакций, шифрование с помощью сертификатов является ключом к предотвращению краж, подслушивания и атак Man-in-The-Middle (MiTM).
«Сертификаты SSL / TLS делают Интернет более безопасным, но многие компании не подозревают, что их сертификаты могут стать зеркалом в организации — потенциально утечка конфиденциальной информации и создание новых точек входа для злоумышленников», — заявили исследователи в области кибербезопасности.
Анализ Detectify включал проверку более 900 миллионов сертификатов SSL / TLS и связанных событий, генерируемых организациями-эмитентами, включая Google, Amazon, Let’s Encrypt и Digicert, что стало возможным через общедоступные точки данных. Пока расследование продолжается, команда, в частности, выявила некоторые риски, связанные с сертификатами SSL.
Первая проблема заключается в том, что «подавляющему большинству вновь сертифицированных доменов» даны описательные имена. По словам исследователя Detectify Фредрика Нордберга Альмрота, это может показаться безвредным. Тем не менее, если сертификация выдается на стадии разработки, это может дать конкурентам время подорвать новые компании или продукты, прежде чем они выйдут на рынок.
Кроме того, сертификаты с подстановочными знаками, которые часто являются менее дорогостоящим вариантом для предприятий, могут быть восприимчивы к протоколам уровня приложений, допускающим межпротокольную атаку (ALPACA). Примерно 13% набора данных связано с использованием подстановочных знаков.
Агентство национальной безопасности США (АНБ) предупредило о АЛЬПАКА в октябре этого года. Вектор атаки может использоваться для обмана серверов с незашифрованными протоколами для кражи файлов cookie, пользовательских данных или для выполнения атак с использованием межсайтовых сценариев (XSS).
Это только два потенциальных риска, связанных с сертификатами безопасности, но команда говорит, что есть еще кое-что, что нужно изучить.
«Мы только начали копаться в данных», — прокомментировал Альмрот. «Есть несколько способов, которыми злоумышленник может использовать общедоступную информацию о сертификатах SSL / TLS для определения поверхности атаки компании, чтобы понять, где находятся слабые места. Например, злоумышленник может увидеть, истекает ли срок действия сертификата или он был подписан с использованием слабый алгоритм подписи. Последний может быть использован для прослушивания трафика веб-сайта или создания другого сертификата с той же подписью, что позволяет злоумышленнику выдавать себя за уязвимую службу ».
Итак, что могут сделать организации тем временем? Detectify рекомендует использовать сертификаты SSL / TLS, но также необходимо постоянно отслеживать их на предмет слабых мест или подозрительного поведения.
Предыдущие исследования также показали, что ошибки в программном обеспечении и неправильное толкование отраслевых стандартов обычно являются причиной неправильно выпущенных сертификатов SSL.
В других новостях о сертификатах на этой неделе Microsoft заявила, что сертификат, срок действия которого истек 31 октября, повлиял на функции Windows 11, в том числе на встроенный инструмент обрезки, сенсорную клавиатуру и голосовой набор. Исправление будет отправлено пользователям, затронутым проблемой.