05.07 // Фальшивые SSL-сертификаты сайта torproject.org возможно использовались для целевых атак
Посетитель сайта https://www.torproject.org из Иордании обнаружил и сохранил фальшивый сертификат, который применялся для прослушивания его соединения с данным сайтом.
Данный сертификат оказался выдан компанией Cyberoam, которая примечательна тем, что выпускает оборудование для глубокой инспекции пакетов (DPI). При помощи такого оборудования и фальшивых сертификатов власти могут осуществлять прослушивание защифрованных соединений пользователя по протоколу SSL. Однако, данный сертификат был всего лишь самоподписанным и никто из пользователей TBB не пострадал, если только вручную не поставил такой сертификат ранее по какой-либо причине.
В устройствах данной компании обнаружена техническая уязвимость, которая связана с тем, что все такие устройства используют общий ключ, по крайней мере по умолчанию. Трафик пользователя, модифицированный одним таким перехватывающим устройством, мог бы быть расшифрован и другим.
Не было зарегистрировано случаев распространения атаки на другие сайты кроме https://www.torproject.org, что может говорить о её прицельном характере, а низкий уровень исполнения возможно связан с какой-либо технической ошибкой.
Источник: The Tor Blog
комментариев: 9796 документов: 488 редакций: 5664
Например, меняли или тестировали устройство и при подключении на чём-то ошиблись, чем и засветились.
На ключи завязано много что: сайт, код. MITM'ить так, чтобы никто ничего не заметил, как раз, наоборот, очень трудно. Подменять бинари и исходники одновременно во всех дистрибутивах Linux тоже планируется? В BSD-портах порт Tor содежит его хэш. Что с ним делать? MITMить весь мир?
его компьютерPGP-ключи у него на связке.