24.03 // Взлом УЦ Comode и получение фальшивых сертификатов SSL для популярных сервисов


Как сообщили представители компании Comodo[link1], которое также подтвердили Microsoft[link2], Google и Mozilla, был осуществлён взлом аккаунта корневого поставщика удостоверяющих цифровых сертификатов Comodo и получение подложных сертификатов на популярные сервисы интернета:


Как утверждается, взлом произошёл из иранского сегмента сети интернет и носил хорошо спланированный характер.

Патч, закрывающий данную уязвимость был внесён поставщиками браузеров Firefox и Chromium первоначально без каких-либо поясняющих комментариев: фальшивые сертификаты были внесены в чёрный список с пометкой "тестовые".

Взломщик, потенциально осуществляющий MITM-атаку при помощи этих сертификатов мог бы при существующей модели также блокировать и запрос браузера к сетевым спискам отозванных сертификатов, поэтому первоначальное внесение таких сертификатов только в онлайн-список отзыва не остановило бы атаку. Этот метод атаки включён в известную утилиту перехвата SSL-соединений "sslmitm". Существуют и более лёгкие методы проведения атаки, основанные на блокировании, а не подмены соединений и на особенностях работы браузеров. Они были публично продемонстрированы в 2009 году, но не исправлены в текущей версии Firefox.

Подмена SSL-сертификатов позволяет прослушивающей стороне нарушать целостность и конфиденциальность защищённого ssl-соединения в сети интернет, если оно базируется на доверии к сертификату, подписанному одним из множества УЦ, находящихся обычно в списке доверяемых для браузеров, почтовых программ, систем обновлений операционных систем, в банковских и других программах.

Источник: Torproject Blog[link3]

Ссылки
[link1] http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html

[link2] http://www.microsoft.com/technet/security/advisory/default.mspx

[link3] https://blog.torproject.org/blog/detecting-certificate-authority-compromises-and-web-browser-collusion