id: Гость   вход   регистрация
текущее время 16:47 16/09/2019
создать
просмотр
редакции
ссылки

8. Анализ


В этой части мы очертим некоторые потенциальные сценарии, в которых власти могут иметь желание шпионить за защищёнными коммуникациями подозреваемого. В каждом примере сценария мы рассмотрим выбор, доступный властям, с учётом того, как это соотносится с атакой создания сертификатов по принуждению и оценим возможности CertLock по детектированию и защите от этих атак.


8.0.1 Сценарий A
Действительный УЦ VeriSign (США)
Принуждаемый УЦ VeriSign (США)
Вэбсайт Citibank (США)
Местоположение подозреваемого США
Власти, осуществляющие слежку США

В этом сценарии власти США принуждают VeriSign выпустить сертификат для использования органами охраны правопорядка с целью шпионить за коммуникациями между подозреваемым, находящимся в США и Ситибанком — банк, который он использует тоже из США.


Такую атаку засечь при помощи CertLock невозможно, поскольку УЦ, выпускающий подложный сертификат тот же самый, что и выпустивший реальный сертификат. Однако, мы считаем, что такой сценарий крайне маловероятен для того чтобы возникнуть в ходе следствия против конечных пользователей. Это так, поскольку если противник со стороны властей способен получить судебный ордер, принуждающий VeriSign к сотрудничеству, то ему также легко достать судебный ордер, принуждающий Citibank раскрыть информацию о счёте подозреваемого.
Хотя возможно есть небольшое число добровольцев, запускающих интернет-сервисы, которые будут делать всё возможное, чтобы не сдавать данные пользователя властям, в том числе отключая свои серверы, мы считаем, что подавляющее большинство корпораций не будут сопротивляться и пойдут на уступки. Наша модель угрозы специфическим образом исключает редкие категории и вместо этого фокусируется на корпорациях, которые и предоставляют сервисы большинству пользователей.


8.0.2 Сценарий B
Действительный УЦ VeriSign (США)
Принуждаемый УЦ GoDadddy (США)
Вэбсайт Citibank (США)
Местоположение подозреваемого США
Власти, осуществляющие слежку США

В этом сценарии, власти США принуждают GoDaddy, УЦ, находящегося в США к выпуску сертификата для разведывательного агентства, которое хочет шпионить за коммуникациями между подозреваемым, находящимся в США и банком также из США (CitiBank), который получил действительный сертификат от VeriSign.


Так же как и в сценарии A, крайне маловероятно, что такая атака будет осуществлена. Это так, потому что любое правительственное агентство, способное принудить GoDaddy, также способно получить судебный ордер на принуждение VeriSign или Bank of America. Путём сведения по редукции, атакующий, способный на выполнение сценария B, также способен и на сценарий A. CertLock не обнаруживает атаку этого типа.


8.0.3 Сценарий C
Действительный УЦ VeriSign (США)
Принуждаемый УЦ VeriSign (США)
Вэбсайт Poker.com (США)
Местоположение подозреваемого США
Власти, осуществляющие слежку США

В этом сценарии правоохранительные органы США ведут расследование в отношении находящегося в США вэбсайта онлайн-игр и американских пользователей этого сервиса. Агенты хотят сначала получить доказательства того, что осуществляются нелегальные виды деятельности, осуществляя мониторинг ставок, которые проходят через зашифрованные SSL-соединения, перед тем как они совершат рейд в офис компании и конфискуют их серверы. В порядке слежки за коммуникациями между пользователем и игровым сервисом, агенты правоохранительных органов принуждают VeriSign выпустить дополнительный сертификат для сайта, при помощи которого они будут перехватывать все входящие и исходящие коммуникации с сайтом.


В этом сценарии, поскольку обе стороны SSL-соединения находятся под следственными мероприятиями властей, то атака с созданием сертификатов по принуждению является высокоэффективным методом скрытого сбора улик. Однако, поскольку выпускающий УЦ не менялся, то CertLock неспособен определить такую атаку и предупредить пользователей.


В общем, сценарий атаки, в котором оба — и конечный пользователь и вэбсайт оказываются под наблюдением, находятся за пределами нашей модели угрозы.


8.0.4 Сценарий D
Действительный УЦ VeriSign (США)
Принуждаемый УЦ CNNIC (Китай)
Вэбсайт CCB (Китай)
Местоположение подозреваемого Китай
Власти, осуществляющие слежку Китай

В этом сценарии гражданин Китая получает доступ к своему онлайновому счёту China Construction Bank, который получил свой действительный сертификат от VeriSign, фирмы из США. Китайские разведслужбы заинтересованы в получении доступа к сетевым транзакциям подозреваемого и для этой цели принуждают China Internet Network Information Center
(CNNIC) — местный УЦ, к выпуску сертификата для операции по прослушиванию.


Этот сценарий неидентичен сценарию A, хотя во многом схож. Опять же, если китайские власти способны принудить местного УЦ к сотрудничеству, мы подразумеваем, что им также будет легко заставить сотрудничать китайский банк для того чтобы предоставить информацию о состоянии счёта подозреваемого. Хотя мы считаем этот сценарий маловероятным, даже если он случится, CertLock его обнаружит.


8.0.5 Сценарий E
Действительный УЦ VeriSign (США)
Принуждаемый УЦ CNNIC (Китай)
Вэбсайт Google Mail (США)
Местоположение подозреваемого Китай
Власти, осуществляющие слежку Китай

В этом сценарии американский управляющий посещает Китай в целях ведения бизнеса и пытается получить доступ к своей защищённой, принадлежащей США учётной записи вэбмэйл с использованием интернет-соединения из номера отеля. Китайские власти хотят перехватывать его коммуникации, но поскольку Google использует SSL по-умолчанию для вэбмейл-коммуникаций [36], то власти должны выполнить атаку человека-посредине. Этот сценарий — идеальный кандидат для осуществления атаки создания сертификата по принуждению, поскольку китайские ласти не имеют рычагов влияния для принуждения к сотрудничеству Google или VeriSign. Этот сценарий также легко будет обнаружен CertLock.


8.0.6 Сценарий F
Действительный УЦ VeriSign (США)
Принуждаемый УЦ Verisign (США)
Вэбсайт CCB (Китай)
Местоположение подозреваемого США
Власти, осуществляющие слежку США

В этом сценарии китайский управляющий совершает поездку в США с бизнес-целями и пытается получить доступ к своему счёту в China Construction Bank, используя интернет соединение из своего номера в отеле. Представители американских властей хотят получить доступ к его финансовым записям, но не хотели бы, чтобы китайские власти знали, что их гражданин находится под следственными мероприятиями и поэтому не запрашивают его записи по официальным каналам для правоохранительных органов.


Это сценарий во многом идентичен сценарию E, однако есть одно ключевое отличие: действительный сертификат, используемый китайским банком выдан находящимся в США УЦ и американские власти обращаются к тому же самому УЦ за тем, чтобы он снабдил их подставным сертификатом. Таким образом, хотя этот сценарий и является идеальным кандидатом для проведения атаки с созданием сертификата по принуждению, он не относится к тем, которые бы легко можно выявить при просмотре УЦ на уровне изменений стран. Сам по себе CertLock неспособен выявить атаку этого типа.

8.1 Выигрышные позиции в слежке для Америки


Как описано выше, есть один сценарий в котором пользователь незащищён нашей системой, основанной на учёте стран. Если организация получает свои сертификаты от зарубежных стран, то она подвергает своих пользователей высокоэффективной слежке, осуществляемой правительственными агентствами из той же самой зарубежной страны. К сожалению этот сценарий далёк от гипотетического — поскольку американские УЦ тотально доминируют на рынке сертификатов и используются многими зарубежными организациями.


В качестве одного примера — крупнейшие банки в Пакистане, Ливане и Саудовской Аравии (страны в которых США имеет сильный разведывательный интерес) все используют сертификаты, выпущенные VeriSign, для своих сетевых банковских серверов.


Пока зарубежные вэбсайты продолжают опираться на SSL-сертификаты, выпущенные УЦ, находящимися в США, американские власти будут сохранять возможность проведения атак человека-посредине, которые практически невозможно обнаружить. Закрытие этой бреши находится за пределами сферы этой работы, но к счастью организации могут легко решить это сами — переключившись на местный УЦ (или по крайней мере на один из размещающихся в стране, властям которой они доверяют).


Назад | Оглавление | Дальше


 
Комментариев нет [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3