Дело о краже ssl-сертификатов: кто это сделал?

15 марта один из партнёров компании Comodo, являющейся одним из наибольших поставщиков SSL-сертификатов, подвергся атаке, из-за которой преступникам удалось взять 9 поддельных цифровых сертификатов для таких доменов, как login.яху.com, mail.гугл.com, www.гугл.com, login.skype.com, addons.mozilla.org, login.live.com. Взят был и сертификат Global Trustee, благодаря которому преступники имели возможность выдать собственный сайт за каждый. К примеру, дабы выманивать пароли доступа.

Фактически, партнёра Comodo – неназванную компанию из Южной Европы – удалось “вскрыть” конкретно благодаря получению логинов и паролей к одному либо нескольким аккаунтам, связанным с данной компанией. Как именно эти сведенья были взяты, неизвестно, но так или иначе преступники смогли направить в Comodo запрос на выпуск нужных им сертификатов.

К счастью, атаку удалось достаточно скоро найти; все сертификаты (их перечень приводится тут) были отозваны, все владельцы и производители браузеров перечисленных доменов срочно поставлены в известность. “Живьём” был увиден лишь один сертификат – на некоем иранском сайте, скоро прекратившем отзываться.

Comodo говорит, что их личная инфраструктура, которая связана с выдачей сертификатов, не подвергалась взлому; ключи доступа аппаратных модулей безопасности остались неприкосновенными, так что трагедии, в неспециализированном-то, и не произошло. Не смотря на то, что Фонд электронного фронтира в собственном анализе назвал случившееся обстановкой на грани “мелтдауна” и призвал все заинтересованные стороны принять меры к усилению безопасности инфраструктуры интернета в целом.

Небходимо отметить, что атаки шли с нескольких IP-адресов, большинство которых, но, относится к Иранской республике. Иными словами, имела место попытка собственного рода кибертеррористического акта, что имел возможность бы обойтись миру очень дорого, если бы не был одновременно с найден. Причём, как подозревают в Comodo, попытка эта осуществлялась с ведома и при помощи иранских правительства.

“Поддельные” цифровые сертификаты смогут быть употребляться, во-первых, чтобы незаметн подключаться к зашифрованным соединениям и смотреть за происходящим. Кстати, то, что большинство доменов, для которых преступники взяли сертификаты, относится к наибольшим “социальным” ресурсам, именно показывает на то, что их интересовала конкретно возможность незаметной слежки.

Помимо этого, такие сертификаты – лакомый кусок для фишеров, потому, что они смогут придавать кажущуюся легитимность вредоносным копиям известных Интернет-ресурсов. Но, потому, что эти сертификаты уже отозваны, то они, в сущности, ненужны.

Однако все браузеры всегда проверяют актуальность сертификатов, обращаясь к определённым адресам; так что применять эти сертификаты допустимо только в том случае, в то время, когда доступ к тем адресам перекрыт. Провернуть такое допустимо лишь на национальном уровне – в государствах, где фильтруется интернет, национальные провайдеры блокируют необходимые адреса, и дальше соответствующие органы посредством фальшивых сертификатов тихо просматривают переписку собственных диссидентов.

Случайное видео:


Интересные записи: