Hakerzy sfałszowali certyfikaty CIA i Mossadu

Hakerzy sfałszowali certyfikaty CIA i Mossadu

Hakerzy sfałszowali certyfikaty CIA i Mossadu
Źródło zdjęć: © Thinkstockphotos
07.09.2011 16:15, aktualizacja: 21.09.2011 15:05

Hakerzy, którzy dokonali końcu lipca br. włamania do holenderskiego Urzędu Certyfikacji, należącego do firmy DigiNotar, wystawili 531 fałszywych certyfikatów SSL obejmujących domeny internetowe należące m.in. do CIA, Mossadu i rządu holenderskiego oraz firm takich jak Google, Twitter i Microsoft - poinformowały media.

SSL (Secure Socket Layer) to protokół stworzony w 199. roku przez firmę Netscape do bezpiecznej transmisji zaszyfrowanego strumienia danych. Działa on w architekturze klient-serwer i pozwala na nawiązanie bezpiecznego połączenia z użyciem certyfikatów. Jest zorientowany głównie na uwierzytelnianie serwera (np. sklepu internetowego, instytucji publicznej), ale przewiduje także możliwość uwierzytelnienia klienta.

Certyfikaty SSL zawierają m.in. nazwę domeny, dla której je wystawiono. Działają one w ramach systemu bezpieczeństwa znanego pod nazwą Infrastruktury Klucza Publicznego (PKI). Na jej szczycie umieszczone są Urzędy Certyfikacji (Certificate Authority - CA). To zaufane instytucje, które weryfikują prawo do posługiwania się taką domeną.

Tworzenie certyfikatu następuje, kiedy osoba upoważniona z firmy lub instytucji wyśle do CA swój klucz publiczny, nazwę domeny i inne dane niezbędne do wygenerowania certyfikatu w postaci żądania podpisania certyfikatu (Certificate Signing Request - CSR). Po sprawdzeniu wszystkich danych, CA generuje certyfikat SSL. Jeśli serwer przedstawi fałszywy, niepodpisany przez CA certyfikat, użytkownik zobaczy w przeglądarce lub programie pocztowym odpowiednie ostrzeżenie.

Firma DigiNotar, do której hakerzy włamali się w końcu lipca br. posiadała Urząd Certyfikacji (CA) i odgrywała rolę tzw. zaufanej trzeciej strony przechowującej w ramach infrastruktury PKI dane o wydanych certyfikatach i podmiotach, dla których je wydano.

Jak poinformował magazyn Computerworld odkryto już 53. fałszywych certyfikatów SSL , posługujących się prawdziwymi danymi, pozyskanymi przez hakerów w czasie włamania. Są one wystawione na domeny związane z CIA, wywiadem izraelskim - Mossadem, brytyjskim - MI6, instytucjami rządu holenderskiego oraz firmami takimi jak Yahoo, Skype, Facebook, Twitter, projektu TOR, AOL a także serwisem uaktualnień systemu Windows (Windows Update) należącym do Microsoftu. W poniedziałek, 5 września holenderski resort sprawiedliwości rozpoczął publikację listy certyfikatów, które prawdopodobnie są fałszywe.

Fałszywe certyfikaty służą najczęściej do ataku hakerskiego znanego pod nazwą "man-in-the-middle". Jest to atak polegający na podsunięciu fałszywego własnego klucza przy transmisji chronionej szyfrem, do czego służy sfałszowany certyfikat. Atak tego typu umożliwia podsłuchiwanie wiadomości i nawet ich modyfikowanie bez wiedzy komunikujących się stron. Certyfikaty mogą służyć też do legitymizowania fałszywych serwisów i stron udających prawdziwe.

Jak pisze "Guardian" rząd holenderski "uczynił krok bez precedensu" - w sobotę 6 września br. na specjalnie zwołanej konferencji prasowej ogłosił, iż odwołuje certyfikaty wystawione przez DigiNotar dotyczące operacji finansowych instytucji rządowych. DigiNotar wystawiał bowiem certyfikaty SSL dla serwerów holenderskiego resortu finansów, zbierających elektroniczne formularze podatkowe obywateli. Jak jednak zauważyła przeprowadzająca audyt w DigiNotar firma konsultingu bezpieczeństwa Fox-IT, zagrożone są wszystkie certyfikaty, jakie kiedykolwiek zostały wystawione w tym CA dla instytucji rządowych - nie wiadomo bowiem do jakich jeszcze danych dostęp mieli hakerzy.

Jak poinformował New York Times, najwięksi producenci przeglądarek Google (Chrome), Mozilla (Mozilla i Firefox) oraz Microsoft (Explorer) zablokowali 20. certyfikatów wystawionych przez DigiNotar, używanych w tym oprogramowaniu, co oznacza, że w przeglądarkach wyświetlają się one obecnie jako nieprawidłowe.

Jednak, jak zauważa Computerworld, pozostały niezablokowane certyfikaty należące do instytucji państwowych rządu holenderskiego oraz instytucji państwowych innych krajów, wystawione przez ten urząd certyfikacji. Dyrektor ds. oprogramowania w Mozilla, Johnathan Nightingale, oświadczył Computerworld, że "wkrótce" w przeglądarkach Mozilli zostaną zablokowane wszystkie certyfikaty DigiNotar.

W wypowiedzi dla Computerworld oraz na swoim koncie twitterowym, Christopher Soghoian, analityk ds. bezpieczeństwa danych poinformował z kolei o fałszywym certyfikacie wystawionym dla domeny CIA.gov.

Jak poinformował New York Times, hakerzy już ogłosili o włamaniu. Na stronie, gdzie bardzo często publikują zdobyte dane - Pastebin.com - haker o pseudonimie "Comodohacker" (od firmy Comodo sprzedającej certyfikaty SSL, do której także się już włamano), poinformował jako "rzecznik grupy muzułmańskich hakerów", iż dokonała ona włamania do DigiNotar. Określił się jako 21-letni irański zaangażowany walczący student, protestujący w ten sposób przeciwko bezczynności Zachodu w czasie rzezi muzułmanów w Bośni w latach 90. Haker ostrzegł, iż grupa "uderzy jeszcze raz".

W to wyznanie nie wierzy jeden najbardziej znanych analityków bezpieczeństwa - Mikko Hypponen, szef badań fińskiej firmy F-Secure. Jego zdaniem, ponieważ fałszywe certyfikaty zostały najpierw użyte w zeszłym tygodniu do ataku na irańskich użytkowników Google, a zwłaszcza poczty Gmail, w rzeczywistości za atakiem na DigiNotar stoją hakerzy pracujący dla rządu Iranu, który najpierw wypróbował skradzione certyfikaty na własnej opozycji.

Jak powiedział New York Times, Ot van Daalen, szef holenderskiej organizacji praw obywatelskich w Sieci, Bits of Freedom udział Iranu we łamaniu "jest niemal pewny".

Źródło artykułu:PAP
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (2)