7 лет назад 30 августа 2011 в 22:15 103

Неустановленным личностям удалось получить SSL-сертификат на домены *.google.com, нет, не украсть имеющийся у Google SSL-сертификат, которые большой G оформляет через Verisign, а выпустить другой через немецкий сертификационный центр Diginotar.

Что это означает предметно? Злоумышленник может прикидываться защищённым узлом по адресу вида *.google.com/*, при условии, что сможет перенаправить трафик, конечно. Кто может такую уязвимость эксплуатировать? Провейдеры интернет-связи или целые государства, этими провайдерами управляющие.

Какой в этом смысл? Ведь Google – это поисковик. Но помимо самого поиска корпорация владеет почтовыми, файловыми и социальным сервисами. Можно, например, просматривать письма в GMail и документы в Google Docs, отслеживать переписку в Google+, а также закрытые альбомы в Picasa и ещё много всего “вкусного”.

Похожая атака уже была произведена на итальянского регистратора instantssl.it, которую, как и текущую, эксперты связывают с правительством Ирана. В Иране нет своего регистратора сертификатов, иначе бы правительство могло бы самостоятельно зарегистрировать и использовать сертификат, потому оно вынуждено получить данный сертификат через иностранную компанию.

Аналитики полагают, что сертификат нужен иранскому правительству для слежки за деятельностью диссидентов. Сам сертификат был обнаружен не во время внутренней проверки, а в “дикой среде”, то есть уже использовался. Сотрудники Diginotar проводят расследование по факту взлома, однако, это уже далеко не первый случай проникновения злоумышленников в системы немецкого регистратора.

До окончания расследования, так как имеется вероятность того что было сгенерировано несколько обманных SSL-сертификатов, разработчики браузеров Chrome, Firefox, SeaMonkey и Internet Explorer приняли решение временно удалить корневой сертификат DigiNotar из поставки. Изменение будет применено в ближайшем обновлении (например, в Firefox 6.0.1). Проблема усугубляется еще и тем, что имея возможность перенаправить трафик пользователей через подставной хост, атакующие могут заблокировать выполнение проверочных CRL/OCSP запросов. В случае невозможности осуществить проверочный запрос браузеры не в состоянии определить отозван сертификат или нет и могут полагаться только на локальный черный список.

Никто не прокомментировал материал. Есть мысли?