0,2%, или 6 845 сайтов из 3 млн web-ресурсов используют поддельные SSL-сертификаты. Об этом свидетельствуют данные исследования, проведенного экспертами Лин-Шанем Хуанем (Lin-Shung Huang), Алексом Райсом (Alex Rice), Эрлингом Эллингсеном (Erling Ellingsen), Коллином Джексоном (Collin Jackson) из университета Карнеги-Меллона и Facebook.
Для активации функциональности сокетов исследователи использовали плагин Flash Player и реализовали частичный протокол рукопожатия для обнаружения поддельных сертификатов безопасности. «Мы использовали этот механизм обнаружения на сайте из списка самых популярных ресурсов Alexa – Facebook, который разрывает соединения через разнообразный набор операторов сетей по всему миру», - сообщают эксперты.
По словам исследователей, большинство доступных сегодня web-обозревателей отображают страницу с предупреждением о подозрительном SSL-сертификате. Однако это предупреждение можно проигнорировать. В таком случае пользователь подвергает себя риску атаки типа «человек посередине», или MITM-атаки.
В некоторых случаях злоумышленники не подделывают цифровые подписи сертификатов безопасности, а используют похищенные. Так, зачастую на сайтах задействуются подписи таких антивирусных компаний, как ESET (1 722 сайта), BullGuard (819 сайтов), «Лаборатория Касперского» (415 ресурсов), Sendori (330 сайтов), Empty (166 ресурсов) и пр.
Кроме того, существует возможность использования сертификата ключа подписи ПО для родительского контроля, межсетевых экранов и рекламного ПО. Злоумышленники могут скомпрометировать их для создания действующего, но поддельного сертификата.
В ходе исследования сайтов на наличие поддельных сертификатов безопасности эксперты обнаружили цифровой сертификат под названием IopFailZeroAccessCreate, который является самозаверенным корневым сертификатом. Стоит отметить, что при помощи этого сертификата вирусам удалось заразить компьютеры в 45 разных странах, в том числе в Мексике, Аргентине и США.
Источник: SecurityLab
|