Anatoly Vorobey (avva) wrote,
Anatoly Vorobey
avva

Categories:

военные действия в сети

Report of incident on 15-MAR-2011

У одной из фирм, которая выдает SSL-сертификаты, взломщикам удалось получить поддельные сертификаты. Судя по всему, этот взлом был организован иранскими властями (!). См. последние несколько строк документа.

Список сайтов, сертификаты на которые удалось получить взломщику, включает в себя Google, Yahoo, Skype, Mozilla, Live.com (Microsoft).

Что это значит, такая кража сертификатов? Представьте себе, что вы живете, ну например в Иране, и пользуетесь, ну скажем GMail'ом или Yahoo Mail'ом. Иранские спецслужбы очень хотят перехватить ваш пароль и прочитать вашу почту. Поскольку они контролирует интернет в Иране, они могут приказать вашему провайдеру так подделать интернет-адреса, что когда вы в браузере идете на "mail.google.com", скажем, на самом деле вы попадаете на какой-то поддельный сайт, который только выглядит, как GMail, и перехватывает ваш пароль. Только это не сработает, потому что сайты GMail и Yahoo! Mail пользуются технологией SSL, и ваши закладки ведут на адреса https://mail.google.com или https://login.yahoo.com. Эта технология позволяет браузеру распознать, что ему выдают поддельную страницу - она не "подписана" настоящим цифровым сертификатом Гугля или Яху - и браузер выдает вам огромное предупреждение о том, что вас по-видимому пытаются обмануть.

Но теперь, после взлома серверов компании Comodo, и выдачи с помощью этого взлома новых сертификатов на эти адреса Гугла, Яху и других сервисов, иранские спецслужбы могут сделать поддельный сайт, который обманет ваш браузер, и вы ничего не заподозрите. Теоретически говоря, существует способ отменить уже выданные сертификаты, и это сделали сразу же после взлома. Когда вы идете на mail.google.com или login.yahoo.com, ваш браузер помимо прочего проверяет, не отменили ли случайно сертификаты этих сайтов, которые он получил. Проблема, однако, в том, что те же иранские власти, контролирующие интернет, могут эту проверку заблокировать, не "пропустив" запрос на проверку, который посылает браузер. А в таком случае, к сожалению, основные браузеры не выдают серьезных предупреждений пользователям.

Что из всего этого следует? Эта сетевая атака была предпринята, по-видимому, по инициативе иранских властей, и основной ее целью являлось получить возможность безнаказанно и незаметно (для всех, кроме весьма подкованных технически пользователей) воровать пароли жителей Ирана - видимо, в первую очередь неблагонадежных жителей, диссидентов, и прочая - читать их почту, подсматривать их скайп, следить за тем, что они ищут в сети, и в целом следить за их активностью на сайтах Гугля, Яху, Майкрософта. Эта цель была достигнута.
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 178 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →