30.08 // Обнаружен фальшивый удостоверяющий сертификат для GMail
Компания Mozilla была уведомлена по крайней мере об одном фальшивом SSL-сертификате, выданном на имя компании Google. Удостоверяющим центром выдачи данного сертификата была компания DigiNotar. Для пользователей будут выпущены новые версии Firefox for desktop (3.6.21, 6.0.1, 7, 8, 9), mobile (6.0.1, 7, 8, 9), Thunderbird (3.1.13, 6.0.1) и SeaMonkey (2.3.2), в которых будут удалены сертификаты Diginotar, пока компания не определится с уровнем безопасности поставляемых сертификатов.
Обеспокоенные пользователи могут удалить сертификационный центр DigiNotar из своих программ вручную по этой инструкции.
SSL-сертификаты используются для установления безопасных шифрованных соединений в интернете для связи с различными сервисами. Сюда входит безопасный обмен паролями и содержимым с почтовыми и веб-серверами, службами интернет-коммерции. Владелец фальшивого сертификата может провести так называемую MITM-атаку — незаметный активный перехват трафика, с выдачей обеим сторонам фальшивых сеансовых ключей. При этом возможно чтение трафика в открытом (незашифрованном виде), а обе стороны не смогут определить наличие активной прослушивающей стороны до момента опубликования фальшивого сертификата.
Такая ситуация возможна из-за того, что существует множество компаний — поставщиков сертификатов (удостоверяющих центров), каждая из которых может удостоверять любой сервис в интернете на основании собственных правил. Особенно велик риск использования сертификатов властями (см. Сертифицированная ложь: обнаружение атак перехвата SSL, осуществляемых властями и защита от них ) для прослушивания приватных коммуникаций пользователей.
Как сообщает The Guardian, множественные SSL-соединения с использованием данного сертификата зафиксированы у провайдеров в Иране. Именно иранский пользователь (вероятно отслеживающий все сертификаты с помощью специальных плагинов к браузерам) сообщил в техподдержку компании Google о подозрительном сертификате, выданном ещё 10 июля.
Ранее аналогичный случай отмечался с поставщиком сертификатов Comodo.
Источник: Mozilla security blog
комментариев: 1060 документов: 16 редакций: 32
Chrome при проверке сертификатов *.google.com на какую попало CA не полагается, сертификат должен быть выдан только CA из ограниченного списка.
Т.е. он вспыл фактически из-за того, что chrome не доверяет всем корневым CA безусловно.
Upd: Sattva опередил на минуту :)
комментариев: 9796 документов: 488 редакций: 5664
И за что ж эти ваши так pgpru.com могут не любить? ;) Вот спецслужбам наверно гораздо проще живётся. Достаточно просто "попросить" сертификатик у одного из тысяч промежуточных CA из своей страны.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Если верить взломщику, то он получил доступ к OpenBSD с сертификатами, с одним открытым портом, изолированной от интернета, к которой был доступ только из внутренний сети и не по паролям, а по токенам и RSA SecurID картам.
Там он слишком прикалывается, чтобы во всём ему верить, но может кто распарсит подробности?
Пишет, что он одиночка, с властями своей страны несвязанный, взлом сделал из каких-то близких к патриотическим в его понимании побуждений.
По крайней мере, понятно, почему он особо не осторожничал, если это он — это было для него способом безбашенно оторваться или что-то вроде этого.
Из предыдущего:
http://pastebin.com/jhz20PqJ
http://pastebin.com/85WV10EL
Есть надежда, что однажды это всё прекратится.