Обнаружен обманный SSL–сертификат для сервисов Google

Опубликовано: 2 сентября 2011 г., пятница


В Сети зафиксирован факт использования для организации атаки «man–in–the–middle» (MITM) обманного SSL–сертификата, действующего для доменов *.google.com. Обманный сертификат был выдан удостоверяющим центром DigiNotar, т.е. формально для пользователя сессия выглядела полностью валидной.

Используя данный сертификат была предпринята попытка перенаправления трафика иранских пользователей Google через промежуточный узел, выдающий пользователям обманный сертификат, после чего организующий перехват трафика с его прозрачной трансляцией на оригинальные серверы Google. Работа через поддельный сайт ничем не отличалась от прямого обращения к серверу Google, браузеры считали HTTPS–сессию валидной и не выдавали предупреждения (за исключением браузера Chrome, который позволил распознать неладное, так как в нем производятся дополнительные проверки сертификатов Google). Атака могла быть использована для контроля за перепиской, перехвата параметров аутентификации или для внедрения вредоносного ПО от чужого имени.

В настоящее время удостоверяющий центр DigiNotar уже отозвал проблемный сертификат и инициировал разбирательство, каким образом было произведено его создание. До окончания расследования, так как имеется вероятность того что было сгенерировано несколько обманных SSL–сертификатов, разработчики браузеров Chrome, Firefox, SeaMonkey и Internet Explorer приняли решение временно удалить корневой сертификат DigiNotar из поставки. Изменение будет применено в ближайшем обновлении (например, в Firefox 6.0.1). Проблема усугубляется еще и тем, что имея возможность перенаправить трафик пользователей через подставной хост, атакующие могут заблокировать выполнение проверочных CRL/OCSP запросов. В случае невозможности осуществить проверочный запрос браузеры не в состоянии определить отозван сертификат или нет и могут полагаться только на локальный черный список.

Организация EFF (Electronic Frontier Foundation), ранее проводившая несколько исследований состояния SSL–сертификатов в сети, считает, что опасность ситуации хуже, чем это может показаться на первый взгляд. В последние два года была зафиксирована дюжина случаев, когда мошенникам удавалось получить у центров сертификации сертификаты для чужих сайтов. В настоящее время насчитывается уже около 1500 центров сертификации, контролируемых примерно 650 разными организациями. Так как при каждом HTTPS/TLS–сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, компрометация одного из них приведет к возможности сгенерировать валидный сертификат для любого сайта в сети, независимо от того каким центром сертификации выдан оригинальный SSL–сертификат.

По мнению EFF громкие уличения центров сертификации – это лишь вершина айсберга. Даже для такого известного домена как google.com обманный сертификат был выявлен только спустя почти два месяца с момента его выдачи (сертификат выдан 10 июля 2011 года). Вполне вероятно, обманные сертификаты для менее известных ресурсов могут годы существовать незамеченными. EFF также отмечает, что отозванный DigiNotar сертификат является первым, который был выявлен не в процессе внутреннего аудита, а был зафиксирован в «диком виде», т.е. в процессе использования злоумышленниками.

Дополнение: Появилась информация, что обманный сертификат был получен в результате взлома инфраструктуры удостоверяющего центра DigiNotar. Вторжение в инфраструктуру Certificate Authority (CA) было зафиксировано 19 июля, в результате чего атакующим удалось сгенерировать поддельные сертификаты для ряда доменов, включая google.com. Расследование инцидента еще не завершено и результаты внешнего аудита последствий взлома пока не приданы огласке. Компания DigiNotar заявила, что все сгенерированные в результате инцидента сертификаты были сразу отозваны из обращения, но случай с сертификатом Google указывает на то, что как минимум один обманный сертификат не был отозван.

История с генерацией обманного SSL–сертификата для сервисов Google получила продолжение. Несмотря на то, что список доменов, фигурирующих в отозванных сертификатах по прежнему держится в секрете, известно, что черный список в последнем выпуске Chrome увеличился на 247 записей. Представители проекта Mozilla сообщили, что с ними в частном порядке связались представители DigiNotar и сообщили о факте генерации обманного сертификата для домена addons.mozilla.org. Также появились официально неподтвержденные сведения о том, что обманные сертификаты DigiNotar также были сгенерированы для Yahoo.com, Tor.com и иранского блог–сервиса Baladin. Обманные сертификаты были созданы 10 июля, а отозваны несколько дней назад.

Источник: opennet.ru
Копировать, распространять, публиковать информацию портала News.lt без письменного согласия редакции запрещено.

Комментарии Facebook

Новый комментарий


Captcha

статьи по схожей тематике

Microsoft улучшает политику по защите Windows

Компания Microsoft объявила, что с 31 марта 2016 года рекламное программное обеспечение с техникой «человек посередине» (man–in–the–middle) в Windows будет полностью блокироваться. За счёт этого разработчики хотят добавить новый слой безопасности операционной системы. подробнее »

В Германии почти вдвое выросло число киберпреступлений

В 2016 году количество совершенных уголовных деяний с использованием интернет-технологий достигло 82 649 случаев, в то время как в 2015 году полиция зарегистрировала 45 793 киберпреступления. дальше »

Неаполь будет защищать свою репутацию в Интернете

Власти Неаполя, третьего по величине города Италии, представили план по защите своей репутации против тех, кто пытается его опорочить. дальше »

Nokia выпустил голосовой помощник MIKA для телеком-операторов

Компания Nokia разработала собственного интеллектуального помощника MIKA (Multi-purpose Intuitive Knowledge Assistant), предназначенного для работы в телекоммуникационной сфере. но утверждает, что это не замена аналогичному сервису от Google или Apple. дальше »

Британская UKTV нарастила доходы и диверсифицировала бизнес

Ведущая британская коммерческая телекомпания UKTV закрыла 2016 год с доходами в размере 344,8 млн фунтов стерлингов, что на 8% больше прошлогодних показателей. дальше »

Франция: рост потребления VoD

По данным аудиторской компании Médiamétrie, занимающейся измерением аудитории, потребление онлайн-контента среди французов растет. дальше »

Google's Project Zero опубликовал подробности ещё одного бага в продуктах Microsoft

Выждав традиционный 90-дневный срок, аналитики из Google's Project Zero предъявили общественности неисправленный баг в продуктах Microsoft. дальше »

48% новых общих доменов имеют китайские корни

Китай проявляет наибольший интерес к регистрации имен в новых общих доменах верхнего уровня, сообщает ресурс The Domains, ссылаясь на статистику ntldstats.com. дальше »

Smart Engines внедрил технологию распознавания документов в мобильное приложение LifeGuide

Благодаря технологии Smart Engines пользователи приложения LifeGuide могут бронировать и оплачивать авиабилеты без использования клавиатуры устройств. дальше »

Выпущена версия web-браузера Chrome 58

Компания Google представила релиз web-браузера Chrome 58. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. дальше »

Сеть Dish выиграла $1 млн в деле о пиратстве против Lool IPTV

Американский суд постановил, что владельцы сервиса Lool IPTV организовали пиратские трансляции международных телеканалов, нарушив права сети Dish. Компанию обязали выплатить $1,05 млн в качестве компенсации. дальше »