Podniebny man-in-the-middle

Podniebny man-in-the-middle

Gogo jest firmą, działającą na terenie Stanów Zjednoczonych, dostarczającą usługę bezprzewodowego Internetu na pokładach samolotów. W ostatnich dniach – przez zupełny przypadek – odkryto, że świadomie podstawiali swoim klientom fałszywy certyfikat SSL.

Pechowy (dla Gogo) pasażer

W ostatnim czasie z usług firmy Gogo korzystała, będąca członkiem zespołu bezpieczeństwa Google, Adrienne Porter Felt. Podczas lotu, po podłączeniu się do sieci Gogo i przejściu do serwisu YouTube jej uwagę zwrócił czerwony krzyżyk na kłódce oraz przekreślony protokół HTTPS w pasku adresu przeglądarki Chrome. Sprawdzenie szczegółów certyfikatu szybko wskazało przyczynę pojawienia się ostrzeżeń. Wystawcą fałszywego certyfikatu była firma Gogo, która nie widnieje na liście zaufanych wystawców w żadnej z przeglądarek, ani żadnego innego – publicznie znanego – oprogramowania. W takich przypadkach Chrome i inne przeglądarki blokują połączenie. Jednak na życzenie użytkownika pozwalają przejść na potencjalnie niebezpieczną witrynę.

Podstawianie certyfikatu SSL to najprostsza droga do przeprowadzenia ataku man-in-the-middle. Przechwytując ruch sieciowy atakujący ma możliwość deszyfrowania danych przesyłanych z przeglądarki do serwera. Teoretycznie więc, firma Gogo miała możliwość odczytania poufnych danych należących do ich klientów. Wymagało to jednak zignorowania ostrzeżeń przeglądarki i przejście do strony z fałszywym certyfikatem.

Fałszywy certyfikat SSL wystawiony przez Gogo

Fałszywy certyfikat SSL wystawiony przez Gogo (źródło: https://twitter.com/)

Po swoim odkryciu Adrienne Porter Felt opublikowała wpis na Twitterze, będący pytaniem skierowanym do firmy Gogo.

Jest pytanie, jest odpowiedź

Gogo, które współpracuje między innymi z takimi liniami lotniczymi jak Alaska Airlines, American Airlines, Delta czy US Airways opublikowało oświadczenie. Poniżej jego treść:

Gogo takes our customer’s privacy very seriously and we are committed to bringing the best internet experience to the sky.  Right now, Gogo is working on many ways to bring more bandwidth to an aircraft.  Until then, we have stated that we don’t support various streaming video sites and utilize several techniques to limit/block video streaming. One of the recent off-the-shelf solutions that we use proxies secure video traffic to block it.  Whatever technique we use to shape bandwidth, It impacts only some secure video streaming sites and does not affect general secure internet traffic. These techniques are used to assure that everyone who wants to access the Internet on a Gogo equipped plane will have a consistent browsing experience.

We can assure customers that no user information is being collected when any of these techniques are being used.  They are simply ways of making sure all passengers who want to access the Internet in flight have a good experience.

Powołuje się w nim na przyjętą politykę dotyczącą streamingu treści wideo i zapewnia jednocześnie, że żadne dane użytkowników nie były gromadzone.

Jeżeli kogoś, mimo tego niepochwalanego działania, nadal interesuje jak – w dużym skrócie – działa usługa świadczona przez firmę Gogo można zapoznać się z tą krótką animacją.

Nauka na przyszłość

Przykład działań firmy Gogo jest poważnym zagrożeniem dla bezpieczeństwa użytkowników całego Internetu. Szczególnie dla tych, którzy są mniej świadomi zasad działania mechanizmów bezpieczeństwa.

W opisywanym przypadku wystarczyło nie zignorować ostrzeżeń wysyłanych przez przeglądarkę. W Chrome (wersja 39) pierwszym z nich jest blokada połączenia i wyświetlenie komunikatu:

Ostrzeżenie SSL w Chrome

Ostrzeżenie SSL w Chrome

Drugim natomiast wspomniany wcześniej czerwony krzyżyk na kłódce i przekreślony, także na czerwono, protokół HTTPS w pasku adresu.

Zawsze w takim przypadku powinna zapalić nam się „czerwona lampka”. Czasem naprawdę warto zrezygnować z zalogowania się do jakiegoś serwisu niż narazić się na utratę prywatności.

Podziel się:Share on Facebook
Facebook
0Tweet about this on Twitter
Twitter

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *