Google, Mozilla і Microsoft заборонили центр сертифікації DigiNotar у своїх браузерах.
З Сага DigiNotar продовжуючи, настав час підсумувати деякі поточні події навколо нього.
Згідно з кількома публікаціями в блозі, Google, Mozilla і Microsoft вже заборонили центр сертифікації DigiNotar у своїх браузерах. Цей превентивний крок є прямою відповіддю на безлад, створений DigiNotar, видавши понад 200 фальшивих сертифікатів для законних веб-сайтів і служб – див. повний список постраждалих сайтів і служб.
Раніше цього тижня Google повідомив про спроби атак типу "людина посередині". виконано проти користувачів Google, і нещодавно TrendMicro запропонував статистику широкомасштабна шпигунська операція, розпочата проти іранських веб-користувачів.
За даними TrendMicro:
З аналізу даних Smart Protection Network ми бачимо, що значна частина користувачів Інтернету, які завантажили URL-адресу перевірки сертифіката SSL від Diginotar, були з Ірану 28 серпня 2011 року. 30 серпня 2011 року більшість трафіку з Ірану зникла, а 2 вересня 2011 року майже весь іранський трафік зник, і Diginotar отримував переважно голландських користувачів Інтернету, як і очікувалося.
Ці зведені статистичні дані від Trend Micro Smart Protection Network чітко вказують на те, що іранські користувачі Інтернету зазнали великомасштабної атаки типу "людина посередині", де трафік, зашифрований SSL, може бути розшифрований на третину вечірка. Наприклад: третя сторона, ймовірно, змогла прочитати всю електронну пошту, надіслану іранським користувачем Інтернету зі свого облікового запису Gmail.
Тим часом, Уряд Нідерландів зробив заяву заявивши, що «не може гарантувати безпеку своїх власних веб-сайтів» і «бере на себе діяльність компанії (DigiNotar)».
"користувач державних сайтів більше не має гарантії... що він знаходиться на тому місці, де хотів бути", - сказав міністр внутрішніх справ Піт Хайн Доннер на передсвітанковій прес-конференції.
Крім того, компанія VASCO зі штату Іллінойс, яка володіє голландською DigiNotar видав наступну заяву:
DigiNotar виявив вторгнення в інфраструктуру центру сертифікації (CA), що призвело до шахрайська видача запитів на сертифікат відкритих ключів для низки доменів, у тому числі Google.com. Виявивши вторгнення, DigiNotar діяв згідно з усіма відповідними правилами та процедурами. У той час зовнішній аудит безпеки дійшов висновку, що всі шахрайські сертифікати були анульовані. Нещодавно було виявлено, що принаймні один фальшивий сертифікат на той час не був анульований. Отримавши повідомлення від голландської урядової організації Govcert, DigiNotar негайно вжив заходів і відкликав фальшивий сертифікат.
Хто стоїть за атаками? Відповідно до Проект Tor, в одному із сертифікатів було знайдено підказки, зокрема повідомлення фарсі:
Особливої уваги заслуговує цей сертифікат: CN=*.RamzShekaneBozorg.com, SN=PK000229200006593,OU=Sare Toro Ham Mishkanam, L=Tehran, O=Hameye Ramzaro Mishkanam, C=IR
Текст тут виглядає як запис, як і будь-який інший, але насправді це візитна картка носія фарсі. RamzShekaneBozorg.com не є дійсним доменом на момент написання цієї статті. Завдяки анонімному носії фарсі я тепер розумію, що наведене вище свідоцтво насправді є коментарем для всіх, хто намагається читати між рядків: «RamzShekaneBozorg» — це «чудовий крекер","Хамейе Рамзаро Мішканам" перекладається як "Я зламаю все шифрування","Саре Торо Хам Мішканам" перекладається як "я ненавиджу/ламаю тобі голову"
VASCO, власник DigiNotar, заявив, що планує призупинити на невизначений термін продаж своїх традиційних сертифікатів SSL і сертифікатів розширеної перевірки (EV)., поки справа не буде розкрита. "Компанія відновить свою діяльність із сертифікатами SSL і EV SSL лише після ретельних додаткових перевірок безпеки сторонніми організаціями".