V napadu na DigiNotar izdanih več deset lažnih certifikatov
Matej Huš
31. avg 2011 ob 20:26:59
Včeraj smo poročali o lažnem SSL-certifikatu za Googlove strani, ki so ga nepridipravi izdali in podpisali kot DigiNotarjev certifikat, kar so uporabili za prisluškovanje iranskim uporabnikom Gmaila. Danes je znanih že več podrobnosti, med drugim tudi to, da je šlo za več strani.
DigiNotar, podružnica podjetja Vasco Data Security International, je izdala uradno izjavo javnost, v kateri so navedli nekaj pojasnil. Dejali so, da žal ni bil izdan le lažni certifikat za Google, ampak še za nekaj deset drugih spletnih strani, ki pa jih niso imenovali. Omenjeni certifikat za Google, ki je bil prvi odkrit, je resda veljal od 10. julija dalje, a je bil na spletu šele od nedelje. V ponedeljek je Vasco Data Security prejel obvestilo od Dutch Computer Emergency Response Team, da je certifikat ponarejen, tako da je bil 24 ur po uporabi že blokiran.
Kako so napadalci dobili dostop do DigiNotarja, še ni znano. V podjetju izvajajo izredno revizijo, ki bo prve izsledke ponudila v začetku prihodnjega tedna. Kljub temu so Microsoft, Google in Mozilla že izbrisali DigiNotar s seznama zaupanja vrednih CA-jev, kar pomeni, da bo pri kakršnikoli uporabi certifikatov, ki jih je podpisal DigiNotar, brskalnik dvignil varnostno zastavico. DigiNotar je zato že začel kontaktirati svoje stranke, s katerimi iščejo pot iz zagate - verjetno jim bodo priporočili, naj uporabijo drugega CA-ja, bržkone kar nizozemsko vlado. DigiNotar sicer ni veliko podjetje, saj so z izdajanjem certifikatov v prvih šestih mesecih letos zaslužili manj kot sto tisoč evrov.