В газете компьютерра была опубликована статья в которой говорилось о краже ssl сертификатов. Несколько лет назад я писал об опасностях которые в себе таят коммерческие (выданные некими центрами сертификации) цифровые сертификаты. И вот эта новость стала подтверждением высказанного мною тогда опасением. Если вы купили ключ для шифрования трафика у известного центра сертификации это значит что ваш трафик будет доступен тому кто выдал вам этот сертификат.
Мораль? Шифрование интимный процесс. И не стоит доверять его всяким проходимцам да ещё и платить им за выпуск этого сертификата.
Дело о краже SSL-сертификатов: кто это сделал?
Юрий Ильин Автор: Юрий Ильин
Опубликовано 24.03.2011 в блоге автора (rss)15 марта один из партнёров компании Comodo, являющейся одним из крупнейших поставщиков SSL-сертификатов, подвергся атаке, в результате которой злоумышленникам удалось получить 9 поддельных цифровых сертификатов для таких доменов, как login.yahoo.com, mail.google.com, www.google.com, login.skype.com, addons.mozilla.org, login.live.com. Получен был и сертификат Global Trustee, с помощью которого злоумышленники могли выдать свой сайт за любой другой. Например, чтобы выманивать пароли доступа.
Собственно, партнёра Comodo – неназванную компанию из Южной Европы – удалось «вскрыть» именно благодаря получению логинов и паролей к одному или нескольким аккаунтам, связанным с этой компанией. Каким образом эти данные были получены, неизвестно, но так или иначе злоумышленники смогли направить в Comodo запрос на выпуск нужных им сертификатов.
К счастью, атаку удалось довольно быстро обнаружить; все сертификаты (их список приводится здесь) были отозваны, все производители браузеров и владельцы перечисленных доменов немедленно поставлены в известность. «Живьём» был замечен только один сертификат – на некоем иранском сайте, быстро переставшем отзываться.
Comodo утверждает, что их собственная инфраструктура, связанная с выдачей сертификатов, не подвергалась взлому; ключи доступа аппаратных модулей безопасности остались неприкосновенными, так что катастрофы, в общем-то, и не случилось. Хотя Фонд электронного фронтира в своём анализе назвал произошедшее ситуацией на грани «мелтдауна» и призвал все заинтересованные стороны принять меры к усилению безопасности инфраструктуры интернета в целом.
Стоит добавить, что атаки шли с нескольких IP-адресов, большая часть которых, однако, относится к Иранской республике. Иными словами, имела место попытка своего рода кибертеррористического акта, который мог бы обойтись миру крайне дорого, если бы не был вовремя обнаружен. Причём, как подозревают в Comodo, попытка эта осуществлялась с ведома и при поддержке иранских властей.
«Поддельные» цифровые сертификаты могут быть использоваться, во-первых, для того, чтобы незаметн подключаться к зашифрованным соединениям и следить за происходящим. Кстати, то, что большая часть доменов, для которых злоумышленники получили сертификаты, относится к крупнейшим «социальным» ресурсам, как раз указывает на то, что их интересовала именно возможность незаметной слежки.
Кроме того, такие сертификаты – лакомый кусок для фишеров, поскольку они могут придавать кажущуюся легитимность вредоносным копиям известных Интернет-ресурсов. Но, поскольку эти сертификаты уже отозваны, то они, в сущности, бесполезны.
Другое дело, что все браузеры постоянно проверяют актуальность сертификатов, обращаясь к определённым адресам; так что использовать именно эти сертификаты возможно лишь в том случае, когда доступ к тем адресам перекрыт. Провернуть такое возможно только на государственном уровне – в странах, где фильтруется интернет, государственные провайдеры блокируют нужные адреса, и дальше соответствующие органы с помощью фальшивых сертификатов спокойно просматривают переписку своих диссидентов.