Неизвестные хакеры, получившие доступ к данным голландского эмитента SSL-сертификатов Diginotar могли похитить не только цифровые сертификаты компании Google, но также сертификаты компаний Mozilla, Yahoo, проекта Tor Project и других. Специалисты говорят, что реальный масштаб утечки сертификатов из Diginoar может оказаться значительно большим, нежели сообщалось накануне.
По оценкам независимых специалистов, всего в руках похитителей могли оказаться около 200 сертификатов. Ханс Ван де Лой, старший технический консультант компании голландской Madison Gurka, говорит, что среди похищенных сертификатов есть относящиеся к mozilla.com, yahoo.com и другим. Также злоумышленники украли SSL-сертификаты от torproject.org - некоммерческого проекта, позволяющего людям анонимно связываться друг с другом. Tor Project распространен в странах, руководство которых практикует интернет-цензуру.
В компании Mozilla подтвердили факт похищения их сертификатов, однако в компании отмечают, что сертификаты были похищены не от самого сайта mozilla.com, а от сайта аддонов addons.mozilla.com. Эту же информацию подтвердили в Diginotar. Обе компании заявляют, что похищенные SSL-сертификаты будут перевыпущены в самое ближайшее время.
Честер Висниевски, технический консультант британской антивирусной компании Sophos, говорит, что по его данным, похищены были 247 SSL-сертификатов, в том числе и принадлежащие компании Google. Кроме того антивирусный эксперт критикует как эмитента SSL-сертификатов, так и сами компании за то, что обе стороны слишком медленно реагируют на инцидент и не предоставляют данных о краже, а это может очень негативно сказаться на безопасности конечных пользователей, работающих с сервисами Google, Yahoo, Mozilla и других.
Отдельная порция критики выдается и за то, что компания Diginotar так до сих пор не установила, когда именно была произведена кража. Очевидно, что все или почти все SSL-сертификаты были выпущены после 10 июля, а последняя ревизия проводилась 26 июля, то есть кража была совершена где-то между 26 июля и 27 августа. В самой Diginoar говорят, что у них на сегодня нет никаких свидетельств того, что краденные сертификаты были как-то использованы на практике.
"Похоже, что Diginotar не понимает, что задача эмитента SSL-сертификатов заключается не только в том, чтобы брать деньги за удостоверение сертификатов, но и защищать их от незаконного использования, а если произошел инцидент, то делать все возможное для его минимизации, а не отмалчиваться в стороне", - говорит Висниевски.
Напомним, что вчера ряд изданий сообщили о том, что сертификаты изначально были похищены, якобы, хакерами из Ирана и основной целью кражи были именно сертификаты Google. Предположительно в Иране должны были быть созданы поддельные серверы Gmail, которые могли бы стать своего рода ловушкой для политических оппозиционеров президента Махмуда Ахмадинежада. Официально эти сведения пока не нашли подтверждения.
Источник: CyberSecurity
|
