읽기 시간 : 6 분

15 월 26 일 사건 이후 Comodo는이 새로운 위협 벡터에 대해 즉시 추가 방법과 제어를 도입했습니다. XNUMX 월 XNUMX 일에이 시스템은 다른 리셀러가 동일한 가해자라고 생각되는 유사한 공격을 받고 있음을 감지했습니다. 이 공격으로부터 보호되는 새로운 보안 조치. 이러한 최근 공격은 Comodo 인프라의 손상과 관련이 없습니다. 코모도 사건 보고서를 업데이트했습니다. Comodo는 모든 이해 관계자 및 보안 업계와 지속적으로 협력하여 개선 조치를 통해이 사건에 계속 대응하고 새로운 위협에 대한 새로운 표준을 설정하기를 기대합니다.

인터넷 사용이 변화함에 따라 위협 모델이 변경됩니다. 이란의 공격에 의해 강조된 인터넷 인프라의 약점은 XNUMX여 년 동안 존재 해 왔으며, 그 변화는 그 중요성에 있습니다.

돈은 재미있는 재화이며 $ X 미만의 자산을 보호하기 위해 시간, 노력 및 자원으로 $ X를 소비 할 가치가 없습니다. 자유는 실용적이지 않으므로 위협 모델이 변경되었습니다.

성공하려면 시스템의 보안 문제를 해결하고 즉각적인 사건과 특정 목표를 넘어서야합니다. 이 공격은 Google 벤 로리 (Ben Laurie)가 공동 저술 한 IETF에 대한 CAA (Certificate Authority Authorization) 제안을 해결하기 위해 이미 제안한 인증 기관 인프라의 약점을 강조합니다.

우리는 잠시 CAA를 살펴볼 것입니다. 그러나 먼저 취약한 시스템의 다른 부분을 살펴 보겠습니다. 비밀번호 인증 및 코드 인증.

문제의 공격 목표는 주요 이메일 제공 업체 및 소셜 네트워킹 사이트의 인증 서버와의 통신을 차단하고, 특히 사용자 이름과 비밀번호를 얻어 해당 계정을 제어하는 ​​것이 었습니다. 현재 웹 인증 체계의 핵심 약점은 웹 브라우저가 웹 서버에 암호를 전달하여 웹 서버를 인증한다는 것입니다. 사용 SSL 통신 중에 비밀번호를 가로 채지 못하도록 보호하지만 웹 서버는 사용자가 입력 한 실제 비밀번호를받습니다. 따라서 웹 서버 또는 SSL 인증서가 손상되면 사용자 자격 증명이 손상됩니다. 이것은 인터넷 보안 인프라에서 불필요한 약점이며 약간의 변경으로 해결 될 수있는 것입니다. SSL우리가 행동 할 의지를 찾을 수 있다면 / HTML 인증 메커니즘.

취약한 시스템의 다른 부분은 코드 인증입니다. 이란 정부가 시민들에게 제공하는 많은 서비스 중 하나는 무료 소프트웨어를 제공하는 웹 서버입니다. SourceForge 등이 제공하는 무료 소프트웨어와 달리이 무료 소프트웨어는 대부분 복제 방지 메커니즘이 제거 된 상용 소프트웨어입니다. 소프트웨어를 검토 한 전문가들은 백도어 및 키 스트로크 로거 기계 사용에 대한 정부의 감시를 가능하게합니다.

이 새로운 수준의 공격으로부터 성공적으로 방어하려면 세 가지 문제를 모두 적극적으로 해결해야합니다. 취약점이 악용 될 때만 해결하는 대응 방식은 실패합니다.

인증 기관 인증 (CAA) 는 자신이 작성한 Comodo의 Rob Stradling과 Google의 Ben Laurie가 작성한 취약점의 첫 번째 영역을 해결하기위한 제안입니다. 이 제안의 첫 번째 초안은 2010 년 XNUMX 월에 이루어졌으며, 그로 인해 발생한 동기 나 정치적 사건이 발생했습니다.

CAA는 도메인 이름 소유자가 도메인에 대한 인증서를 발급 할 권한이있는 인증 기관 및 / 또는 서명 키를 지정할 수있는 메커니즘입니다. 기본 메커니즘을 통해 인증 기관은 인증서의 잘못된 발급을 피하고 응용 프로그램 소프트웨어가 발급 된 인증서에 대한 의존을 피할 수 있습니다.

예를 들어, Alice Corp은 10,000 개국에 지사가있는 30 명의 직원 회사라고 가정하십시오. Carol CA가 Alice Corp의 인증서를 요청하면 Carol Corp의 정책에 따라 인증서를 확인하고 발급합니다.이 인증서는 Alice Corp가 적용하려는 정책과는 매우 다를 수 있습니다.

이러한 유형의 공격을 자주 목표로하는 대기업은이 특정 취약점을 인식하고 단일 CA 또는 소수의 CA와 벤더 계약을 단독 또는 제한했습니다. 그런 다음 인증서 발행 및 인증서 수명주기 관리 프로세스를 고객의 비즈니스 프로세스에 통합 할 수 있습니다.

승인 된 CA가 Alice Corp 인증서를 잘못 발행하는 것은 Alice Corp과 승인 된 CA간에 합의 된 특정 프로세스를 통해 모든 합법적 인 요청이 이루어 지므로 매우 간단합니다. Carol CA가 승인 된 CA가 아닌 경우 문제가 발생합니다. 오늘날 Carol CA는 제한된 공급 업체 정책이 존재한다는 것을 알 방법이 없습니다. CAA를 사용하면 도메인 이름 소유자가 제한된 공급 업체 정책의 존재를 알리고 잘못된 문제를 방지 할 수 있습니다. Carol CA가 인증 된 인증 기관 목록에 있으면 대역 외에서 동의 한 추가 인증 요구 사항을 준수하는지 확인합니다. 인증 된 인증 기관 세트가 게시되고 Carol CA가 표시되지 않으면 요청은 거의 사기성이므로 거부해야합니다.

CA가 잘못 발행하는 것을 쉽게 피할 수있을뿐만 아니라 CAA 메커니즘은 잘못 발행에 대한 객관적인 표준을 제공합니다. 게시 된 인증 기관 권한 설정에도 불구하고 CA가 발급 된 경우 인증서 문제는 단지 잘못된 문제 일 수 있습니다. 지속적으로 잘못 발행하는 인증 기관은 클라이언트 소프트웨어 제공 업체가 더 이상 루트 인증서를 포함 시키거나 신뢰할 수있는 것으로 표시하지 않을 가능성이 있습니다.

따라서 CAA는 인증서 발급 문제에 대한 책임 관리 기능입니다. 인터넷 인프라에 대한 대부분의 제안 된 변경 사항과 달리, 잘못된 문제를 방지하는 이점은 매우 빠르게 실현 될 수 있습니다. 도메인 이름 보유자는 모든 사람이 웹 브라우저를 업데이트 할 때까지 기다릴 필요가 없으며 인증 기관이 배포되고 후자가 매우 빠르게 그렇게 할 동기가 있습니다.

위협 모델이 조직 범죄에 대한 재정적 동기 부여 공격으로 제한 되었다면 책임 통제만으로 충분할 수 있습니다. 위협 모델이 확장 될 때 책임 관리가 충분하지 않습니다. 정부 기관 인증서 발급 자나 에이전트를 강제 할 수 있습니다.

우리는 태만이나 악의로 인한 잘못된 문제에 대해 책임을 질 수는 있지만 시스템은 강압의 위협에 견고해야합니다. 은행 직원은 근무 첫날에 무장 강도 사건을 시도하면 금고와 다이 팩의 내용물을 양도해야한다고 들었습니다. 무장 강도에 저항하는 것은 해고입니다. 우리는 인증 기관 운영에 대해 동일한 접근 방식을 취해야합니다. 모든 합리적인 예방 조치를 취하되 비합리적인 조치는 기대하지 마십시오. 은행은 보유한 재고 금액 (예 : 돈)이 상대적으로 적은 금액을 초과하지 않도록하여 무장 강도로부터의 도난을 제한합니다.

CAA는 필요한 DNS 리소스 레코드 코드가 할당 되 자마자 거의 즉각적인 이점을 제공하는 책임 관리 기능 외에도 웹 브라우저와 같은 클라이언트 소프트웨어로 인증서 발급자 제한을 적용 할 수 있습니다. 이 컨트롤의 이점을 얻으려면 사용자는 물론 웹 브라우저를 업데이트해야합니다. 따라서 처음에는 이점이 상대적으로 적은 수의 사용자로 제한되지만, 이러한 형태의 공격을 가장 많이받는 브라우저 사용자는 소프트웨어 방어를 최신 상태로 유지해야한다는 것을 이미 알고 있기 때문에 이는 허용 가능한 한계입니다.

마지막으로, 정부의 직접적인 공격을 목표로하는 사람들이 대응책을 조기에 채택 할 수 있다는 사실은 다른 포괄적 인 조치를 고려할 수 있기 때문에 중요합니다. 인터넷 인증의 기초로 사용자 이름과 비밀번호를 사용하는 취약점은 XNUMX 년 이상 알려져 왔으며, 웹 세계에서 채택 된 접근 방식으로 비밀번호 자체를 서버에 전달하여 검증을 수행하는 것은 최악의 상황입니다. 지금까지 부족했던 것은 필요한 변화를 만드는 동기가되었습니다.

1990 년대 중반 우리는 인터넷 메일 링리스트와 비슷한 문제에 직면했다. 당시 메일 링리스트에 가입하는 데 필요한 모든 것은 요청을 보내는 것이 었습니다. 몇몇 메일 그룹 관리자는 확인을 요청하는 전자 메일 메시지를 보낼 수 있지만이 옵션은 거의 사용되지 않았습니다. 그러다가 어느 날 wag는 XNUMX 만 개의 공개 메일 링리스트를 서로에게 구독하기로 결정하여 한리스트로 전송 된 메일이 다른 모든 메일로 전달되고 결과에 미국 백악관 메일 주소를 등록하게되었습니다.

금요일에 공격이 시작된 것을 기억합니다. 다음주 월요일까지 인터넷의 거의 모든 메일 링리스트는 가입 요청이 확인되거나 요청 확인이 활성화 된 상태로 실행되었습니다. 인터넷 표준은 일반적으로 매우 느리게 이동하지만 때로는 매우 빠르게 이동할 수도 있습니다. 비슷한 속도로 CAA를 배포 할 수 있습니다.

이 경우 빠르게 이동해야합니다. 먼저 CAA를 배포 한 다음 웹 사용자 인증 재해를 해결하십시오.

이메일 보안 테스트 인스턴트 보안 점수를 무료로 받으십시오 출처 : https://blog.comodo.com/comodo-news/fixing-the-problems-1-caa/