Ερευνητής ασφάλειας αποκαλύπτει κρίσιμα ελαττώματα στα συστήματα εμπιστοσύνης του Διαδικτύου

Σε μια εντυπωσιακή αποκάλυψη, ο ερευνητής ασφαλείας Benjamin Harris, ιδρυτής της εταιρείας κυβερνοασφάλειας watchTowr, κατάφερε να εκμεταλλευτεί ένα ληγμένο domain, αποκτώντας πρωτοφανή πρόσβαση σε ευαίσθητες υποδομές του διαδικτύου, αγοράζοντας το domain dotmobiregistry.net για μόλις 20 δολάρια. Ο τομέας ήταν κάποτε ο επίσημος διακομιστής WHOIS για το .mobi, έναν τομέα ανωτάτου επιπέδου που χρησιμοποιείται για να δηλώσει ότι ένας ιστότοπος είναι βελτιστοποιημένος για κινητές συσκευές. Μέσα σε λίγες ώρες, ο ψευδο-διακομιστής του έλαβε εκατομμύρια ερωτήματα από υψηλού κύρους υπηρεσίες διαδικτύου, αποκαλύπτοντας κραυγαλέα κενά ασφαλείας.

Ο Harris ανακάλυψε ότι πολυάριθμοι καταχωρητές τομέων, αρχές έκδοσης πιστοποιητικών και κυβερνητικοί φορείς εξακολουθούσαν να εμπιστεύονται τον πάλαι ποτέ διακομιστή WHOIS. Αυτή η λανθασμένη εμπιστοσύνη επέτρεψε στον Harris να δημιουργήσει πλαστά πιστοποιητικά HTTPS και να υποκλέψει ακόμη και μηνύματα ηλεκτρονικού ταχυδρομείου. Μια από τις πιο ανησυχητικές ανακαλύψεις ήταν ότι οι αρχές έκδοσης πιστοποιητικών, όπως η GlobalSign, βασίζονταν σε αυτόν τον ψευδο-διακομιστή για να επαληθεύουν τη νομιμότητα των αιτήσεων πιστοποιητικών TLS. Σε ένα πείραμα, ο Harris βρισκόταν μόλις ένα βήμα μακριά από την απόκτηση ενός πιστοποιητικού για το microsoft.mobi.

Αυτή η ανησυχητική ευπάθεια αναδεικνύει την ευθραυστότητα των συστημάτων που στηρίζουν την εμπιστοσύνη στο διαδίκτυο, όπως το δίκτυο WHOIS. Τα ευρήματα του Harris καταδεικνύουν ότι αυτά τα συστήματα, που συχνά θεωρούνται δεδομένα, μπορούν εύκολα να χειραγωγηθούν εάν δεν συντηρούνται σωστά. Η έρευνά του προκάλεσε μια βαθύτερη έρευνα από τις αρχές ασφαλείας, οι οποίες εργάζονται τώρα για την ασφάλεια της παραβιασμένης υποδομής.