В сети зафиксирован факт использования для организации атаки "man-in-the-middle" (MITM) обманного SSL-сертификата, действующего для доменов *.google.com. Обманный сертификат был выдан удостоверяющим центром DigiNotar, т.е. формально для пользователя сессия выглядела полностью валидной.
Используя данный сертификат была предпринята попытка перенаправления трафика иранских пользователей Google через промежуточный узел, выдающий пользователям обманный сертификат, после чего организующий перехват трафика с его прозрачной трансляцией на оригинальные серверы Google. Работа через поддельный сайт ничем не отличалась от прямого обращения к серверу Google, браузеры считали HTTPS-сессию валидной и не выдавали предупреждения (за исключением браузера Chrome, который позволил распознать неладное, так как в нем производятся дополнительные проверки сертификатов Google). Атака могла быть использована для контроля за перепиской, перехвата параметров аутентификации или для внедрения вредоносного ПО от чужого имени.
В настоящее время удостоверяющий центр DigiNotar уже отозвал проблемный сертификат и инициировал разбирательство, каким образом было произведено его создание. До окончания расследования, так как имеется вероятность того что было сгенерировано несколько обманных SSL-сертификатов, разработчики браузеров Chrome, Firefox, SeaMonkey и Internet Explorer приняли решение временно удалить корневой сертификат DigiNotar из поставки. Изменение будет применено в ближайшем обновлении (например, в Firefox 6.0.1). Проблема усугубляется еще и тем, что имея возможность перенаправить трафик пользователей через подставной хост, атакующие могут заблокировать выполнение проверочных CRL/OCSP запросов. В случае невозможности осуществить проверочный запрос браузеры не в состоянии определить отозван сертификат или нет и могут полагаться только на локальный черный список.
p.s. Следствием взлома компании DigiNor стало появление обманных сертификаты для сайтов yahoo.com, tor.com, mozilla.org и многих других. Общий список не разглашается, но из обновленной версии Chrome удалены 247 сертификатов.
Источник: opennet.ru
p.s. Следствием взлома компании DigiNor стало появление обманных сертификаты для сайтов yahoo.com, tor.com, mozilla.org и многих других. Общий список не разглашается, но из обновленной версии Chrome удалены 247 сертификатов.
Источник: opennet.ru
Комментариев нет: