Вчера Microsoft выпустила уведомление безопасности SA 2607712 , в котором сообщается, что компания удалила DigiNotar из списка доверенных корневых сертификатов. Причиной этому послужило обнаружение сертификата, затрагивающего все домены и поддомены google.com. Злоумышленники могут воспользоваться сертификатом, подписанным DigiNotar, для подмены контента, проведения фишинг-атак и атак «человек посередине».
По словам Роэля Шувенберга (Roel Schouwenberg), сотрудника «Лаборатории Касперского», SSL-сертификат является действительным и был выдан DigiNotar, голландским центром сертификации. DigiNotar был приобретен в начале этого года чикагской компанией Vasco, которая позиционирует себя как «мировой лидер в области строгой аутентификации». Представители Vasco отказались комментировать инцидент с похищенным сертификатом.
Исследователи отмечают, что, так как сертификат является действительным, то web-браузер не будет выдавать предупреждающее уведомление, если пользователь заходит на сайт, подписанный сертификатом.
Пока неясно, как злоумышленники заполучили сертификат - из-за недостаточно высокого уровня безопасности в компании DigiNotar, или с помощью взлома сайта, на котором выдают сертификаты. Шувенберг призвал DigiNotar предоставить более подробную информацию о хищении сертификата как можно скорее.
«Учитывая связи компании с правительством и финансовыми структурами, очень важно вычислить масштаб взлома как можно скорее», - заявил Шувенберг.
Исследователи компании F-Secure обнаружили следы взлома сайта Diginotar, при чем доступ к сайту удалось получить не одному хакеру. Несколько дефейсов было осуществлено пару лет назад. Сначала незаконный доступ к сайту удалось получить иранскому хакеру под ником KiAnPhP, затем атаку провела иранская группа хакеров Black. Spook, а также в мае 2009 сайт взломали турецкие хакеры. Доказательства взломов до сих пор присутствуют на сайте:
https://www.diginotar.nl/Portals/0/Extrance.txt https://www.diginotar.nl/Portals/0/owned.txt https://www.diginotar.nl/Portals/0/fat.txt
В настоящий момент неизвестно имеют ли эти инциденты отношение к хищению сертификата.
Ситуация с сертификатом DigiNotar напомнила об инциденте, связанном с хищением сертификатов к сайтам Google, Gmail, Microsoft, Skype и Yahoo иранским хакером .
Источник: SecurityLab
|