Иранский хакер заявил о взломе центров сертификации

≡ Безопасность | Новости | 06.09.2011 18:25

Иранский хакер, наделавший в марте шороху с SSL-сертификатами Comodo и выступающий под ником ComodoHacker, взял на себя ответственность и за недавний взлом голландского удостоверяющего центра DigiNotar. Не скромничая, он заявил, что атака потребовала недюжинного мастерства, которым он, по счастью, обладает, однако технические подробности пока не раскрыл, ссылаясь на нехватку времени.

Если верить этому хакеру (а в своё время он, несмотря на хвастливость, привёл убедительные доказательства своей причастности к атакам на Comodo), новую атаку он приурочил к очередной годовщине резни в Сребренице. В 1995 году сербы убили в этом городе несколько тысяч боснийцев-мусульман при традиционном бездействии голландских миротворцев, и ComodoHacker считает, что голландцы должны за это ответить. Он, правда, не пояснил, почему провёл атаку по крайней мере днём ранее 16-й годовщины этого события, то есть 10 июля, а не 11-го.

В качестве своего рода доказательства того, что именно он взломал DigiNotar, иранский хакер-патриот привёл пару логин-пароль, использовавшуюся администратором местной сети. По его словам, логин PRODUCTION\Administrator использовал столь "криптостойкий" пароль как "Pr0d@dm1n".

ComodoHacker также заверяет, что до сих пор обладает доступом ещё к четырём крупным удостоверяющим центрам и способен выпускать от их имени поддельные сертификаты. Он назвал только один из них — GlobalSign; также он уверяет, что раньше у него был доступ к серверу израильского удостоверяющего центра StartCom.

Трудно сказать, заволновались ли сейчас все удостоверяющие центры — по мнению экспертов "Вебпланеты", они должны были заволноваться ещё по крайней мере в марте, но, как видим, не все из них волновались достаточно прилежно. Что до DigiNotar, то, похоже, судьба этой компании как удостоверяющего центра незавидна.

На днях правительство Нидерландов приняло решение о недоверии ко всем сертификатам DigiNotar. Выяснилось, что скомпрометированы также сертификаты, выпущенные этой компанией для инфраструктуры публичных ключей голландского правительства; пока нет, впрочем, свидетельств того, чтобы были выпущены поддельные сертификаты такого рода.

Всего же, как оказалось, взломщик сумел выпустить 531 поддельный сертификат. Причём два сертификата были выпущены ни много ни мало на корневые домены .com и .org, а 186 сертификатов замаскированы под семь удостоверяющих центров, включая Comodo, Thawte и VeriSign. Ещё три сертификата выпущены на несуществующие домены и, как выяснили пользователи задетого атакой анонимизатора Tor, фактически являются хвастливым сообщением на фарси в духе "я самый крутой кулхацкер, я вас всех заломаю".

Интересно, что вчера с неким подобием отчёта выстрелила антивирусная компания Trend Micro, заявившая, что поддельные сертификаты DigiNotar якобы активно использовались в последние недели лета для слежки за иранскими интернетчиками. Trend Micro полагается на данные своего "облака" Trend Micro Smart Protection Network (в котором пользователи антивирусных продуктов в автоматическом режиме обмениваются различными данными, использующимися для защиты от киберугроз).

Компания привела пару лишённых каких-либо цифр гистограмм, свидетельствующих о том, что к узлу validation.diginotar.nl, который занимается проверкой выданных в DigiNotar сертификатов на валидность, ещё 28 августа осуществлялось заметное число обращений из Ирана, а уже через несколько дней такие обращения прекратились. Основную часть обращений, как и следовало ожидать, составляют голландские пользователи, поскольку DigiNotar нельзя назвать удостоверяющим центром мирового масштаба. Однако трафик из Ирана свидетельствует о том, что некие сертификаты DigiNotar какое-то время использовались тамошними пользователями — вплоть до того момента, когда широкой публике стало известно об инциденте с поддельными сертификатами DigiNotar.

Можно предположить, что речь идёт в первую очередь о поддельном сертификате на *.google.com, который в DigiNotar ещё в июле ухитрились упустить из виду. Именно благодаря тому, что он был обнаружен в условиях "дикой природы", июльский инцидент со взломом DigiNotar и всплыл в конце августа — до этого голландцы скромно отмалчивались. В Trend Micro полагают, что некто таким образом мог следить за перепиской иранцев, пользующихся почтой Gmail.

комментарии(0) |

разделы: Новости | Безопасность

Материалы по теме

Хакеры подменяют сайты Google, Yahoo и Mozilla через поддельные SSL-сертификаты
База взломанного партнёра Comodo утекла на Cryptome
"Иранские хакеры" подделали SSL-сертификаты