05.07 // Фальшивые SSL-сертификаты сайта torproject.org возможно использовались для целевых атак
Посетитель сайта https://www.torproject.org из Иордании обнаружил и сохранил фальшивый сертификат, который применялся для прослушивания его соединения с данным сайтом.
Данный сертификат оказался выдан компанией Cyberoam[link1], которая примечательна тем, что выпускает оборудование для глубокой инспекции пакетов (DPI). При помощи такого оборудования и фальшивых сертификатов власти могут осуществлять прослушивание[link2] защифрованных соединений пользователя по протоколу SSL. Однако, данный сертификат был всего лишь самоподписанным и никто из пользователей TBB[link3] не пострадал, если только вручную не поставил такой сертификат ранее по какой-либо причине.
В устройствах данной компании обнаружена техническая уязвимость, которая связана с тем, что все такие устройства используют общий ключ, по крайней мере по умолчанию. Трафик пользователя, модифицированный одним таким перехватывающим устройством, мог бы быть расшифрован и другим.
Не было зарегистрировано случаев распространения атаки на другие сайты кроме https://www.torproject.org, что может говорить о её прицельном характере, а низкий уровень исполнения возможно связан с какой-либо технической ошибкой.
Источник: The Tor Blog[link4]
[link2] http://www.pgpru.com/biblioteka/statji/certifiedlies
[link3] https://www.torproject.org/projects/torbrowser.html.en
[link4] https://blog.torproject.org/blog/security-vulnerability-found-cyberoam-dpi-devices-cve-2012-3372