Let’s Encrypt je velmi dobrý projekt, který má za úkol zvýšit počet webů, které budou používat šifrované spojení. Ideálně do takové míry, že HTTP se stane minulostí. Jenomže to přináší jeden velký problém. Dlouhé roky trvalo naučit běžné uživatele, že HTTPS znamená bezpečný internet. To už ale neplatí. HTTPS od Let’s Encrypt je „jen“ bezpečné připojení.  Bylo tedy jen otázkou čase, než někdo zneužije doménu s certifikátem od Let’s Encrypt.

Odborníci z Trend Micro 21. prosince 2015 objevili malvertisingovou kampaň, jejíž součástí bylo i zvýšení důvěryhodnosti přes SSL certifikáty od Let’s Encrypt. Nutno podotknout, že momentálně až na Windows XP, nemá s certifikáty od Let’s Encrypt nikdo žádný problém.  Funguje téměř ve všech moderních (aktualizovaných) prohlížečích, včetně těch nejrozšířenějších.  Pokud chtěli tvůrci malware doposud využít SSL certifikát, museli si opatřit nějaký v podsvětí internetu. Většinou to znamenalo napadený server a ukradený SSL certifikát. Takovéto certifikáty však neměly dlouhého trvání, protože certifikační autority si zneužití hlídaly.

Malvertisingová kampaň, kterou objevili v Trend Micro jela od 21. do 31. prosince a cílila na uživatele v Japonsku. Oběti uviděli lákavou reklamu a pokud klikli, byli přesměrování na nebezpečnou stránku, která využívala právě certifikát od Let’s Encrypt.  Pomocí Angler Exploit Kit pak byl počítač oběti infikován Vawtrack banking trojan. Který je jak už název napovídá navržen na získávání informací z online bankovních účtů.

Majitel napadeného serveru, odkud byla vedena kamaň, přitom ani neměl ponětí, co se děje. Útočníci získali pro doménu certifikát Let’s Encrypt a rozjeli malvertisingovou kampaň na subdoméně.

Co s nebezpečnými doménami s certifikátem?

Samozřejmě napadený web může mít každý. Díra v redakčním systému, slabé heslo někoho z uživatelů, zapomenutá aktualizace, zero day exploit, prostě stačí chvilka nepozornosti a už se vezete. Otázkou je co s certifikátem takto napadeného webu?

Současné podmínky Let’s Encrypt neumožňují rušení certifikátu a jasně stanovují, že nijak nekontrolují reputaci webu ani zdali jsou údaje o vlastníkovi domény pravdivé.

Nejen bezpečnostní odborníci z toho zrovna nadšení moc nejsou. Nastal čas proškolit méně zkušené uživatele, že je rozdíl mezi zámečkem, zeleným zámečkem a zeleným adresním řádkem.

Více informací najdete na:

• http://thehackernews.com/2016/01/free-ssl-certificate-malware.html
• https://letsencrypt.org/

Tento článek byl byl přečten 2900 krát