Nizozemski CA DigiNotar izdal lažen SSL-certifikat
Matej Huš
30. avg 2011 ob 13:51:02
Ponovila se je marčevska zgodba, ko so zlikovci pridobili nadzor nad izdajateljem spletnih certifikatov (CA) in izdali veljavne certifikate za lažne strani. To pot je žrtev nizozemski CA DigiNotar, saj so napadalci pridobili veljavne certifikate za lažne strani, ki se pretvarjajo, da so Googlove (certifikat je wildcard, kar pomeni da velja za vse Googlove strežnike in podstrani). Prva poročila o napadu so se pojavila včeraj, certifikat pa je že na listi blokiranih.
Na Mozillinih straneh so objavili, da obstoji vsaj en lažen SSL-certifikat za strani Google, potem ko je bilo neavtorizirano obnašanje prijavljeno na straneh za hrošče. Uporabniki so nedovoljen promet prijavili tudi Googlu. Vsebina lažnega certifikata je že objavljena na Pastebinu.
Napad je bil usmerjen na uporabnike Gmaila, ki uporabljajo SSL-dostop do svojega poštnega predala. Promet je bil namreč preusmerjen prek strežnikov, ki jih ne bi bil smel obiskati. Certifikat je bil izdan 10. julija, ni pa jasno, komu ga je DigiNotar podelil. Na podlagi nekaterih indicev se predvideva, da ga je pridobila iranska vlada za izvedbo napadov na Gmail. S tem je bilo mogoče uporabnike preusmeriti na lažne strani, ne da bi ti to opazili, in tako od njih izvabiti podatke za prijavo v Gmail, saj niso opazili, da so na lažnih straneh.
Mozilla je že izdala popravek svojega brskalnika, v katerem je DigiNotar izbrisan iz seznama zaupanja vrednih izdajateljev certifikatov. To pomeni, da bo brskalnik opozoril pred vsako rabo certifikata, ki ga je podpisal DigiNotar.