"Иранские хакеры" подделали SSL-сертификаты

комментарии (2)
версия для печати

Компания Comodo, являющаяся одним из крупнейших поставщиков SSL-сертификатов, сообщила об инциденте, в ходе которого некие злоумышленники сумели получить 9 сертификатов для 7 доменов, принадлежащих популярным сервисам. Атака была обнаружена буквально через несколько часов, предприняты все необходимые меры для того, чтобы максимально обезопасить пользователей, заверяют в Comodo.

По данным компании, некие хакеры каким-то образом сумели получить доступ к аккаунту одного из доверенных партнёров Comodo, имеющего статус регистрационного центра (название компании не приводится, но говорится, что речь идёт о южной Европе). Обладая таким доступом, злоумышленники получили возможность сделать запрос в удостоверяющий центр Comodo на любой SSL-сертификат.

15 марта было сделано 9 таких запросов, в результате чего удостоверяющий центр автоматически выпустил 3 сертификата для домена login.yahoo.com и по одному — для mail.google.com, www.google.com, login.skype.com, addons.mozilla.org, login.live.com и Global Trustee. Все эти сертификаты имеют срок действия до 15 марта 2014 года. Серийные номера поддельных сертификатов можно обнаружить здесь.

В Comodo заверяют, что быстро обнаружили атаку и приняли ряд необходимых мер. Все поддельные сертификаты были отозваны (они занесены в списки CRL, а кроме того, браузеры, поддерживающие протокол OCSP, должны автоматически идентифицировать эти сертификаты как отозванные). Также были немедленно поставлены в известность об инциденте производители популярных браузеров и владельцы пострадавших доменов. Разумеется, была заблокирована и учётная запись хакнутого регистрационного центра, так что никаких других сертификатов через неё получить не удастся.

Отмечается, что из всех означенных сертификатов лишь один был замечен "живьём" — на неком иранском сайте, который, впрочем, вскоре после отзыва сертификата ушёл в офлайн.

По данным Wall Street Journal, компании — владельцы означенных доменов следят за развитием событий или предпринимают необходимые меры со своей стороны (за исключением Skype, представитель которого отказался дать комментарий). Компания Microsoft вчера выпустила внеочередное обновление безопасности для систем линейки Windows, пополняющее новыми данными список сертификатов, к которым нет доверия.

В Comodo также определили, что атака преимущественно проводилась из Ирана (IP-адрес, более всего задействованный в атаке, относится к провайдеру Pishgaman TOSE Ertebatat Tehran Network, Тегеран). В компании не исключают, что злоумышленники попытались таким образом замести следы.

Однако, с другой стороны, домены, для которых были получены поддельные SSL-сертификаты, свидетельствуют о том, что хакеров интересуют не деньги пользователей, а информация (почта, поисковые запросы, VoIP-связь, расширения для Firefox). Это, считают в Comodo, может быть выгодно как раз правительственным структурам страны типа Ирана, где давно практикуют цензуру в Сети, тем более что выгоду от фальшивых SSL-сертификатов можно извлечь, лишь обладая контролем над DNS-серверами.

Главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев полагает, что такие сертификаты представляют интерес для любых злоумышленников, а не только тех, кто работает на какое-нибудь правительство. В качестве примера он приводит распространённую троянскую программу ZeuS, которая давно обладает функцией кражи SSL-сертификатов.

"Comodo недостаточно адекватно оценивает потенциальные возможности злоумышленников по использованию этих сертификатов, считая что это возможно только при получении управления над DNS-серверами, относя такую возможность только на "государственный" уровень, — полагает Гостев. — На самом деле даже иранский след в этой истории не означает совсем ничего — ведь у Comodo есть только иранский IP-адрес, но нет доказательств того, что тот иранский компьютер не был "зомби", через который осуществлялся только промежуточный доступ".

Вместе с тем Гостев положительно оценивает принятые в Comodo и других компаниях меры.

"Сертификаты были отозваны всеми доступными способами: и путем внесения их в черные списки внутри браузеров (Mozilla и Chrome), и путем прямого запрета их в операционной системе Windows. Эти меры вполне достаточны, — полагает эксперт "Лаборатории Касперского". — Пользователи могут либо обновить свои браузеры, либо установить заплатку от Microsoft. В идеале, конечно, следует сделать и то, и то (если мы говорим о пользователях Windows)".

Александр Гостев также порекомендовал "продвинутым юзерам", которые немного знают английский, ознакомиться с инструкциями двухлетней давности, описывающими процесс отключения корневых сертификатов Comodo в Firefox.

Другие новости