torstai 20. huhtikuuta 2017

Varmennetietojen piilottaminen karhunpalvelus tietoturvalle

Huomasin eräänä päivänä, ettei Googlen Chrome-selain enää näytä varmenteen myöntäjätietoja lukon kuvaa napsauttamalla. Listassa on vain tieto "Suojattu yhteys" ja sen pitäisi riittää vakuuttamaan käyttäjä yhteyden luotettavuudesta.

Ei varmenteen tietoja.
En ymmärrä, mitä Googlella on ajateltu -- ehkä sitä, ettei peruskäyttäjä kuitenkaan tee tiedoilla mitään. Lukko kuin lukko. Tämä on todellakin väärä olettamus! Emme me käyttäjät ihan tyhmiä ole.

On suorastaan vaarallista ohjata käyttäjät ajattelemaan, että pelkkä lukon kuva selaimen osoiterivillä riittää takaamaan turvallisuuden. Sellainen tunne on valheellista, sillä mikä tahansa valesivusto voi hankkia itselleen varmenteen. Ainakin varmenteen myöntäjä ja haltija pitäisi olla helposti tarkistettavissa. Pelkkä varmenne ja lukon kuva takaavat vain tiedon salauksen, eivät sivun aitoutta.

Chromessa varmenteen tiedot saa näkyviin vain klikkaamalla kolmea pistettä selaimen oikeassa ylänurkassa ja valitsemalla Lisää työkaluja > Kehittäjän työkalut sekä edelleen Security-välilehti (sitä ei ole edes suomennettu):

Varmenteen tiedot löytyvät vain kehittäjänäytöstä.
Näppäinyhdistelmä Ctrl+Shift+I vie suoraan kehittäjätietoihin. Sieltä View certificate -painikkeella löytyy vihdoin myös itse varmenne ja tieto, kenelle se on myönnetty:

Varmenteen haltijatiedot.
Googlen tapauksessa asia on selvä, mutta monen vähemmän luotettavan sivun tapauksessa varmenteen haltijatieto voi olla ainoa merkki siitä, onko sivusto luotettava vai ei, ja missä maassa se (tai ainakin taustalla oleva yhtiö) todellisuudessa sijaitsee.

Myös Firefoxissa varmennenäyttöä on karsittu aiemmasta, mutta siitä pääsee helposti yksityiskohtaisiin tietoihin:
Firefoxin varmennetiedot. Lisää löytyy vihreää lukkoa napsauttamalla.
Lisätietoja klikkaamalla vanha tuttu ikkuna ilmestyy näytölle:
Firefoxin klassinen turvallisuus-näyttö on onneksi ennallaan.
Microsoftin Edge-selain näyttää varmenteen myöntäjätiedon helposti:

Myöntäjä näkyy, mutta missä muut tiedot?
Pikaisen kokeilun perusteella en löytänyt mitään tapaa selvittää varmenteen muita tietoja. Jälleen yksi syy olla käyttämättä Edgeä.

Kiinnostuin aiheesta nähtyäni huijauksen, jossa domain-nimi väärennetään länsimaisia aakkosia muistuttavilla Unicode-merkeillä. Tätä on liki mahdoton huomata, ellei vertaa varmenteen haltijatietoa osoiterivin sisältöön.

Applen Safari-selain muuttui jo vuosi sitten niin, ettei se näytä web-sivusta oletusarvona muuta kuin domain-nimen. Tiedonkalastelijat ja muut ketkut kiittävät Applea tästä käyttäjäystävällisyyttä lisäävästä ratkaisusta. Varovaisempi ja osaavampi käyttäjä menee muuttamaan asetuksen takaisin niin, että koko osoite näkyy.

Lopuksi vielä demo siitä, miksi varmenteen tiedoilla voi olla merkitystä. Kaksi salattua yhteyttä Apple.com-sivustoon, mutta miksi sisältö näyttää ihan erilaiselta?


Huomaa, että Chromen mukaan molemmat saavat arvion "Turvallinen".

Lisäys 22.4.2017: macOS Sierran Safari näyttää varmenteen tiedot helpoimmin koko joukosta, mutta Chromen Mac-versio yhtä huonosti kuin Windows-versiokin.

MacOS Sierra ja Safari.

4 kommenttia:

  1. Jos käyttää työpaikalta https palveluita eli SSL'ää (kuten esim. pankkipalveluita), josta P.J. edellä puhuu, on mahdollista, että palomuuri avaa ja taas salaa liikenteen uudestaan etsiäkseen vaarallisia web-sivuja yms. Tämä paljastuu, jos käyttäjä pystyy tarkastamaan varmenteen myöntäjän - se on tällöin yrityksen tai palomuurivalmistajan oma juurivarmenne, joka on asennettu käyttäjän koneelle.

    Jos vierailee ulkomailla valtiossa, joka harrastaa laajaa verkkotiedustelua, ei asiaa välttämättä huomaa lainkaan. Valtiot voivat nimittäin pakottaa omalla alueellaan toimivan Certificate Authorityn (eli varmenteen myöntäjä organisaation eli yrityksen) kirjoittamaan toiset varmenteet niille verkkosivuille, joiden kävijöitä halutaan tarkkailla.

    Joitakin viikkoja sitten paljastuneissa CIA'n ohjeissa heidän viruskirjoittajilleen todetaan: 'DO NOT solely rely on SSL/TLS to secure data in transit. Numerous man-in-middle attack vectors and publicly disclosed flaws in the protocol.' Viruskirjoittajia ohjeistetaan käyttämään kahta kryptausta, joista uloin kerros on SSL. 'Because this outer layer may be decrypted by an attacker (e.g., SSL Man-in-the-Middle) any transport encryption must be used for traffic blending only and not for secrecy.' Uloin SSL kerros on siis tarkoitettu vain hämäämään tarkkailijaa, joka etsii epänormaalia verkkoliikennettä - varsinaisen salauksen tekee siis CIAn viruksen sisin salauskerros.

    VastaaPoista
  2. Juuri tästä syystä varmenteen tiedot pitäisi olla helposti tarkistettavissa. En voi käsittää, miksi Google on piilottanut (sanotaan suoraan näin, koska niitä ei löydä ellei tiedä mistä hakea!) tietojen näyttämisen.

    VastaaPoista
  3. Joo, tuntuu tosi oudolta. Googlen tietoturvaporukka on kyllä erittäin hyvin perillä varmenteiden ongelmista. Ilmeisesti kuitenkin tämän piilottamisen suunnitelleet käyttöliittymäasiantuntijat eivät ole tietoisia näistä kysymyksistä. Ison firman tuotekehitysongelmia.

    VastaaPoista
  4. Olisiko NSA ohjeistanut Googlea?

    VastaaPoista