Hamisítás áldozata lett a CIA, a Moszad, az MI6...

A múlt héten számoltunk be arról, hogy egy biztonsági incidens következtében a DigiNotar holland hitelesítésszolgáltatótól olyan információk szivárogtak ki, amelyek révén eddig ismeretlen személyek hamis Google tanúsítványt tudtak kiállítani. Néhány napja egy wildcard SSL-tanúsítvány okozott problémát, amely a Google számos aldomainjére volt érvényes. Így az például a mail.google.com és a docs.google.com esetében is kockázatot jelentett.

A DigiNotar egy közleményben elismerte, hogy a történet szálai egy júliusban bekövetkezett támadásig vezetnek vissza, amelyet július 19-én észleltek a szakemberei. Akkor a sérült tanúsítványokat visszavonták, azonban az egyik valamilyen rejtélyes oknál fogva lemaradt a visszavonási listáról, aminek a Google itta meg a levét. Legalábbis a múlt héten még csak a Google került szóba. Azóta azonban kiderült, hogy immár több mint 500 hamis tanúsítvány terjed, amelyek mindegyike összefüggésbe hozható a DigiNotar esetével.

Gervase Markham, a Mozilla egyik fejlesztője szerint eddig 531 olyan tanúsítvánnyal találkoztak, amelyeket ismeretlen személyek hoztak létre. Az érintett szervezetek között megtalálható többek között a CIA, a Moszad, az MI6, a Microsoft, a Yahoo, a Skype, a Facebook és a Twitter is. Sőt már a Windows Update szolgáltatáshoz is jelentek meg hamis tanúsítványok.

A manipulált tanúsítványok számos problémához járulhatnak hozzá, de elsősorban adatlopáshoz és adathalászathoz használhatók fel. A csalók hamis weboldalakra irányíthatják a felhasználókat, akiknek a böngészője - frissítés nélkül - eredetinek és teljesen legálisnak mutatja a weblapokat, ezért nehezebb az ártalmas tartalmakat kiszűrni.

A nyomok Iránig vezetnek

Christopher Soghoian washingtoni biztonsági kutató a CIA egyik tanúsítványával való visszaélésre lett figyelmes, miközben a Google is megerősítette a biztonsági problémák létezését. Mind Soghoian, mind a Google úgy véli, hogy a mostani akciók mögött iráni személyek vagy csoportok állhatnak. Ugyanakkor Johnathan Nightingale, a Firefox fejlesztési igazgatója azt sem tartja kizártnak, hogy a DigiNotar ellen legalább két, egymástól független támadás következett be. Ezt támasztja alá az F-Secure felfedezése is, miszerint a szolgáltató már 2009 májusában is áldozatául esett török hekkereknek, azóta pedig iráni támadók vették többször célba.

Kritikák kereszttűzében a DigiNotar

A DigiNotar kapcsán - érthető módon - egyre több kritika fogalmazódik meg. Ezek egy része elsősorban azt nehezményezi, hogy a szolgáltató a nyári incidensről nem számolt be, és még a múlt héten is csak annyit közölt, hogy a biztonsági esemény után visszavonta a kompromittált tanúsítványokat, melyek közül csak egy maradt le a visszavonási listáról. Az is elképzelhető, hogy maga a szolgáltató sem vette észre a nemkívánatos eseményeket, de mindez a kialakult helyzeten nem segít. "Most már látható, hogy a DigiNotar nem vett észre mindent az incidens kapcsán, és a támadók jól elrejtették a nyomaikat, talán a naplóállományok manipulálásával" - vélekedett Gervase Markham.

Egyes böngészők már frissültek

A Firefox és a Chrome az elmúlt napokban megkapta azokat a frissítéseket, amelyek a hamis tanúsítványok felismerését teszik lehetővé. Például a Firefox az összes, DigiNotar által korábban kiállított tanúsítvánnyal rendelkező weboldal letöltésekor figyelmezteti a felhasználókat. Johnathan Nightingale szerint a DigiNotarnak már júliusban értesítenie kellett volna a böngészőfejlesztőket, ugyanis a kockázatok nem maradtak meg elméleti síkon, azok nagyon is valósak.