Güvenilir Sertifika Makamına Güvenmek - Öncesi ve Sonrası ile DigiNotar Saldırısı

Bilişim ve güvenlik dünyası, son birkaç haftasını DigiNotar adlı Hollanda menşeli bir sertifika makamının (CA) sistemlerindeki açıklıklardan faydalanılarak DigiNotar adına sertifika imzalanması olayını ve tabii ki bunu yapan ComodoHacker'ı konuşarak geçirdi.

Saldırının ayrıntılarına geçmeden önce, Sertifika Tabanlı Kimlik Doğrulama mekanizmasından biraz bahsetmek gerekebilir [1]. Basit olarak ele alacak olursak SSL (Secure Socket Layer) protokolü, sunucu ve istemci arasındaki trafiği şifreleyerek güvenli haberleşmeyi sağlayan bir protokoldür. Bu protokolün çalışması için SSL sertifikasına ihtiyaç vardır. Web güvenliği açısından ele alacak olursak SSL sertifikası, girilmek istenilen web sitesinin gerçekten o site olduğunu ve o web sitesi ile istemci arasındaki trafiğe uçtan uca başkaları tarafından müdahele edilemeyeceğini garanti altına almak için kullanılır. Sertifika, web sitesinin kimlik belgesidir ve bu belge istemcilere istendiği takdirde gönderilir. Sertifika makamı (sertifika otoritesi) ise ise web sitesi için sertifikayı oluşturan ve bu web sitesinin gerçekten o site olup olmadığını kontrol etmeyi sağlayan kök sertifikasını sunan kurumdur. Sertifika tabanlı kimlik doğrulama mekanizmasında sertifika makamları güvenilir kabul edilir ve onların imzaladığı sertifikalara karşı şüphe duyulmaz. Bir benzetme ile açıklamak gerekirse sertifika makamı, gerçek hayattaki noter ile benzer bir görev yapmaktadır. Altında noter imzası bulunan bir belgenin gerçekliğinden şüphe edilmediği gibi, güvenilir bir sertifika makamı tarafından imzalanan bir SSL sertifikası da internet tarayıcılar, işletim sistemleri ve bu sertifikayı kullanan istemciler tarafından tanınır ve gerçekliğinden şüphe edilmez.

Şekil 1. Bir internet tarayıcısındaki güvenilir sertifika makamları listesi

Peki ya bir saldırgan bir şekilde noter yerine imza atma yetkisi elde ederse ne olur? Bu sorunun cevabı aslında yazının devamında değinilecek olan saldırıya da ışık tutacak nitelikte. Bir noter yerine imza atma yetkisi elde eden bir saldırgan istediği belgeleri onaylayıp (imzalayıp) bu sahte belgelerle yetkisi olmayan yerlere girip, yetkisiz işlemler gerçekleştirebilir. Aynı şekilde, bir saldırgan bir sertifika makamının adına sertifika imzalayabilirse, sahte siteler adına ürettiği sertifikalar ile oltalama (phishing) saldırıları gerçekleştirebilir, şifreli trafiği araya girerek dinleyebilir ve manipüle edebilir. Normal şartlarda güvenilir bir sertifika makamı tarafından imzalanmamış bir sertifika kullanan internet sitelerine giriş yapılmak istendiğinde, tarayıcılar bir güvenlik uyarısı verirler ve kullanıcıya bu sertifika üreticisine güvenmediklerini belirtirler. Güvenilir sertifika makamlarının listesi tarayıcı ve işletim sistemlerinde bulunmaktadır ve bu listeler güncellenerek bu sertifika makamları tarafından imzalanmış sertifkaların geçerlilikleri sağlanır.

Şekil 2. Geçersiz bir sertifika alan tarayıcının verdiği hata mesajı

Bazı temel bilgilerden bahsettikten sonra biraz da asıl konumuza dönelim, yani DigiNotar saldırısı ve ComodoHacker. Peki kimdir bu ComodoHacker? İsminden de anlaşılacağı üzere ComodoHacker, Mart ayında Comodo adlı sertifika otoritesine gerçekleştirilen ve Comodo adına Google, Skype ve Yahoo gibi büyük şirketlera ait sahte sertifikaların üretilmesine sebep olan saldırıyı [19] gerçekleştiren saldırgandan başkası değil. İran asıllı olduğunu belirten saldırganın kriptoloji, kripto analizi ve şifreleme algoritmaları gibi konularda çalışmalar yaptığını ve Comodo saldırısını da RSA algoritmasını kırmaya çalışırken gerçekleştirdiğini internetteki yazılarından öğreniyoruz.[2]

ComodoHacker'ın aylar sonra tekrar gündeme gelmesini sağlayan olay ise; 11 Temmuz günü gerçekleştirdiği ve 500'den fazla sahte sertifika[15] üretmeyi başardığı DigiNotar saldırısı. Bu saldırı HTTPS Gmail trafiğinin google sunucularından başka adreslere yönlendirildiğinin farkedilmesi ile ortaya çıktı ve ortaya çıkmasının arıdından ComodoHacker'ın sahte olarak ürettiği *.google.com sertifikası DigiNotar tarafından bloke edilip kullanımdan kaldırıldı. Ancak olay bununla da sınırlı kalmadı ve üretici firmalar peş peşe DigiNotar sertifikalarını güvenilir sertifika makamı listesinden çıkartıp kara listeye aldılar. Ayrıca DigiNotar firması da güvenlik firmalarının yardımıyla bir güvenlik denetimi başlattı ve bu süre zarfında sertifika verilmesi işlemini durdurduğunu açıkladı. [14]

Şekil 3. ComodoHacker tarafından üretilen *.google.com sertifikası

DigiNotar saldırısından en çok zararlı çıkanlardan biri de hiç kuşkusuz Hollanda oldu.[16] DigiNotar, ticari sertifikaların yanı sıra Hollanda e-devlet uygulamaları için sertifika sağlayan bir sertifika makamı olduğundan saldırının ardından Hollanda, DigiNotar imzalı sertifikaları güvenilmeyen listesine çekti. Hollanda'nın daha önce yaklaşık 13 milyon dolar ödeyip edindiği DigiNotar sertifikaları ise kullanılamaz hale geldi. ComodoHacker, yaptığı açıklamada DigiNotar saldırısının temel sebebinin Hollanda'ya bir ders vermek olduğunu belirtiyor. Ayrıca saldırının tarihini özellikle seçtiğini -Srebrenica katliamının yıldönümünde - 16 yıl önce Hollanda tarafından 30 Hollandalı karşılığında Sırplara teslim edilen 8000 Bosnalı'nın intikamını Hollanda'dan böylece almaya çalıştığını saldırının ardından internette paylaştığı yazısında belirtiyor.[3]

Saldırının ardından Micrsoft, Mozilla, Google, Apple gibi dünya devi üreticiler DigiNotar sertifikalarına olan güvenlerini geri çektiler ve bunu yaptıkları güncellemeler ile kullanıcılara sundular. Microsoft Güncellemeleri (update.microsoft.com) için de sertifika imzalayan ComodoHacker'a karşı ilk adım atan şirketlerin başında Microsoft geliyor. Microsoft yayınladığı güncellemeler ile Windows ve Internet Explorer'a ait güvenilir sertifika makamları listesini güncelledi.[4] Mozilla'nın yayınladığı güncellemeler de Firefox, Thunderbird ve SeaMonkey uygulamalarına yönelik oldu.[5] Apple, MacOS X ve MAC OS X Server sürümleri ile OS X Lion ve Lion Server için güncellemelerini yayınladı.[6] Ubuntu 9 Eylül tarihli güncellemesi ile DigiNotar'ı güvenilir listesinden çıkartırken[7]; Google, Chrome tarayıcısı için yayınladığı güvenlik yamasında tüm platformlar için sertifika listesini güncellediğini ve DigiNotar imzalı sertifikalarına güvenin iptal edildiğini açıkladı.[8, 13]. Populer internet tarayıcı üreticilerinden Opera da yayınladığı bir güvenlik bildirisiyle sertifika makamı listesini güncellediğini ve DigiNotar'ı güvenilmeyen sertifika makamları listesine aldığını açıkladı.[21]

Şekil 4. Güncel bir internet tarayıcısının güvenilmeyen sertifika makamı listesi

ComodoHacker ise yaptığı son açıklamada elinde DigiNotar dışında dünyaca tanınan en az 4 sertifika makamına erişiminin olduğunu belirtiyor. Bu makamlardan biri olan StartCOM'un bütün veritabanlarının ve yedeklerinin, müşterilerin e-posta detayları da dahil olacak şekilde elinde olduğuna yazısında değiniyor. Ayrıca dünyanın en çok bilinen sertifika makamlarından biri olan GlobalSign'ın tüm sunucularına erişim yetkisinin olduğu, tüm yedeklerinin elinde olmasının yanı sıra GlobalSign'ın kendi globalsign.com etki alanına (domain) ait gizli anahtarının (private key) da elinde olduğunu yazısında belirtiyor.[9] GlobalSign ise bu gelişmeler üzerine kendi iç güvenlik denetimini başlattı ve incelemelerin başlamasıyla birlikte bir süre sertifika imzalama hizmetini durdurdu. Bir süredir devam etmekte olan incelemelere ait detaylar ile birlikte hizmetlerin yeniden verilmesi sürecinin de tekrar başlatıldığı GlobalSign tarafından yapılan basın açıklamalarında belirtiliyor.[10]

Şekil 5. Microsoft tarafından yayınlanan ve sertifika listesini düzenleyen Windows 7 güncellemesi

Peki son kullanıcılar bu durum karşısında ne yapmalı? Aslında son kullanıcıların bireysel olarak yapabilecekleri çok sınırlı. Halihazırda birçok üretici kendi ürünleri için güncellemeleri yayınlamış olsalar da özellikle mobil cihazlara yönelik güncellemelerin kullanıcıya sunulamadığını görüyoruz.[11, 12] Kullanıcıların bu konuda atacakları en önemli adım; işletim sistemleri ile web ve elektronik posta tarayıcıları gibi istemcilerinin güncelliğinden emin olmaları ve istemciler tarafından gösterilen "Geçersiz Sertifika" uyarılarına karşı daha dikkatli davranmalarıdır. Biraz daha bu konularda tecrübeli ve bilgili kullanıcılar ise bu sertifika makamını, uygulama ve işletim sistemlerinin güvenilir sertifika listelerinden çıkartabilirler.[20] Üreticilerin, adlarına sahte sertifika üretilmiş olan sertifika makamlarına olan güvenlerini çekmesiyle birlikte dünya çapında bu makamlar adına imzalanmış sertifikaların geçerliliği ortadan kalkacaktır. Tabii ki bu durum sertifika tabanlı kimlik doğrulama mekanizması ve sertifika makamlarına olan güvenin daha fazla tartışılmayacağı anlamına gelmiyor.[17]