Belgijska firma GlobalSign, jeden z największych wystawców certyfikatów PKI, zaprzestał wydawania certyfikatów dla stron internetowych i SSL. Przyczyną jest oświadczenie hakera, że uzyskał dostęp do jej serwerów z danymi - poinformowały BBC i CNN
Obecnie trwa audyt w GlobalSign, prowadzony przez zewnętrzne firmy bezpieczeństwa. Ma on stwierdzić, czy istotnie hakerom udało się włamać do serwerów tego drugiego co do wielkości wystawcy certyfikatów Klucza Publicznego i dokonać zaboru danych.
Jak stwierdzili eksperci bezpieczeństwa na antenie CNN, odkrycie fałszywych certyfikatów SSL wystawionych przez hakerów z danych pozyskanych przez nich z serwerów holenderskiego Urzędu Certyfikacji (CA) należącego do firmy DigiNotar, spowodowało w firmach i instytucjach państwowych powszechnie stosujących certyfikaty Klucza Publicznego "coś na kształt paniki".
Według magazynu "Computerworld", odkryto już 53. fałszywych certyfikatów SSL, posługujących się prawdziwymi danymi, pozyskanymi przez hakerów w czasie włamania w lipcu tego roku. Są one wystawione na domeny związane z CIA, wywiadem izraelskim - Mossadem, wywiadem brytyjskim - MI6, instytucjami rządu holenderskiego oraz firmami, takimi jak Yahoo, Skype, Facebook, Twitter, projektu TOR, AOL, a także serwisem uaktualnień systemu Windows (Windows Update) należącym do Microsoftu.
5 września holenderski resort sprawiedliwości rozpoczął publikację listy certyfikatów, które prawdopodobnie są fałszywe.
Jak wykazał audyt prowadzony w DigiNotar, firma dopuściła się "dużych zaniedbań w zakresie bezpieczeństwa" - stosowano słabe hasła, nie były one długo zmieniane, nie stosowano kilkuwarstwowego zabezpieczenia sieci przed włamaniem z tzw. serwerami "miodowymi pułapkami", dezorientującymi hakerów i umożliwiającymi wykrycie ataków, a tylko proste i źle skonfigurowane zapory ogniowe (firewalle) - poinformowała agencja AP.
Mimo oficjalnego komunikatu, że w GlobalSign istnieje "sprawny i złożony" system bezpieczeństwa, belgijska firma zaprzestała jednak wydawania nowych certyfikatów dla stron internetowych (webcert) i certyfikatów TLS/SSL, po tym, jak na ulubionej stronie publikacji danych przez hakerów - Pastebin.com - ukazało się oświadczenie irańskiego hackera o pseudonimie "Comodohacker", że dokonał on włamania na serwer GlobalSign.
"Comodohacker" (od firmy Comodo sprzedającej certyfikaty SSL, do której także się już włamano) określa się jako 21-letni irański zaangażowany student, "walczący muzułmanin", współpracownik i rzecznik grupy równie zaangażowanych muzułmańskich hakerów. Przyznał się do rzeczywiście dokonanych włamań do firmy bezpieczeństwa Comodo i na serwery DigiNotar, zaprzeczając jednocześnie powiązaniom z armią irańską i tamtejszym wywiadem, co insynuowało wielu analityków bezpieczeństwa z USA i UE.
W najnowszym oświadczeniu "Comodohacker" stwierdził, że poza GlobalSign uzyskał także dostęp do serwerów firmy bezpieczeństwa StartCom, czemu zaprzeczył w wypowiedzi dla BBC jej prezes Eddy Nigg.
Jak twierdzą niektórzy eksperci bezpieczeństwa, mieszanie informacji o naprawdę dokonanych atakach z informacjami fałszywymi może być specjalnie wykalkulowaną techniką, która ma na celu "sparaliżowanie firm bezpieczeństwa i wywołanie paniki" w korporacjach i instytucjach rządowych w Unii Europejskiej i USA.
