Иранские хакеры подделали сертификаты Google Gmail

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 24 мар 2011.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Невероятно изощрённые и опытные взломщики, возможно имеющие отношение к иранскому правительству или другому спонсируемому государством субъекту, вторглись на административные сервера веб-аутентификации и незаконно скопировали сертификаты почты Google и шести других важных сервисов, сообщил исполнительный директор Comodo.

    Атака, состоявшаяся 15 марта, распространялась с IP адресов, принадлежащих иранскому интернет-провайдеру, и некоторые из похищенных учетных данных тестировались из этой же страны, сообщил Мелих Абдулхайоглу, чья компания является уполномоченной проверять достоверность учётных данных (certificate authority). Другими веб-службами, на которые производили атаку, являлись www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.com, и login.live.com компании Microsoft.

    "Все IP были из Ирана, и это установлено совершенно точно", – сказал Абдулхайоглу. "Это не было похоже на атаку с применением брутфорса, которую можно было бы ожидать от обычных киберпреступников. Она была хорошо отлажена и продумана, можно сказать, хирургически точна, и взломщики определённо точно знали, что именно им нужно сделать, и насколько быстро им придётся действовать".

    Проникновение в систему позволило взломщикам получить ключи шифрования, требуемые для создания SSL-сертификатов. Атака пришлась примерно на то же самое время, когда неизвестная группа людей похитила данные о системе безопасности SecurID компании RSA.

    "Компании, занимающиеся аутентификацией, находятся под прямой атакой правительства", – сообщил Абдулхайоглу. "Все мы реализуем некую степень безопасности и предоставляем безопасную аутентификацию людям, и нас атакуют. Причина атак - взломщики хотят получить доступ к каналам связи".

    Comodo аннулировала поддельные учетные данные практически сразу после того, как выяснилось, как они были созданы. Большинство современных браузеров сообщает о фальсификации данных при их обнаружении. Но старые версии браузеров не способны на это и проверка может быть отключена, что не исключает возможность того, что учетные данные, при посещении атакуемых сайтов в незащищённых сетях, могут быть подменены фиктивными.

    Google, громогласно не афишируя, занёс в черный список "небольшое количество сертификатов" через 2 дня после атаки, Mozilla и Microsoft предприняли аналогичные действия для Firefox и Internet Explorer до вторника и среды соответственно.

    Абдулхайоглу отказался открывать имя регистратора, который подвергся взлому, указав только, что он находится в южной Европе. Компания Comodo до сих пор не знает, как данный registration authority был взломан, но исследователи выяснили, что учетные записи других партнёрских организаций, не имеющих отношения к Comodo, были также взломаны примерно в то же самое время.

    Абдулхайоглу подчеркнул, что он не может ни подтвердить ни опровергнуть информацию к кому относилась атака на компанию RSA или кем она была спонсирована.


    источник
     
  2. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Проблемы, связанные с атакой на SSL, оказались более серьезными

    Хакерская атака против SSL, обнаруженная на прошлой неделе, возможно, имела более серьезные последствия, чем сперва предполагали, поскольку Comodo сообщает, что пострадали еще две ассоциированные компании.

    В сообщении на сейте mozilla.dev.security.policy технический директор компании Comodo Робин Алден сообщил, что сайты двух ассоциированных компаний также были взломаны во время подобных атак. Но там злоумышленники не успели выпустить поддельные сертификаты, поскольку атаки были своевременно зафиксированы и брешь закрыта.

    По его словам, в связи с нападениями Comodo укрепляет безопасность, чтобы справиться с новыми угрозами для SSL инфраструктуры.

    "Мы применяем как ограничение подключений по IP адресу, так и систему двухфакторной аутентификации на основе токенов", - написал Алден.

    "Внедрение двухфакторных токенов находится в процессе, и чтобы завершить его потребуется пара недель. Пока данный процесс не закончен, Comodo будет выполнять 100-процентную проверку всей работы перед выпуском любого сертификата".

    Первоначально компания обвиняла Иранское правительство, но после этого кто-то заявил, что он один осуществлял эту атаку и опубликовал код, чтобы доказать это.

    Несмотря на то, что последствия взлома были сведены к минимуму посредством быстро принятых мер производителями браузеров и другими организациями, данная ситуация подняла серьезные вопросы о состоянии безопасности SSL.

    "То, что мы сейчас видим - это сигнал о наличии фундаментальных проблем с SSL", - сообщил Питер Экерсли, ведущий технолог Electronic Frontier Foundation (EFF). "Просто в системе много критических точек".

    Он пояснил, что исследование, проведенное EFF показало, что существует 1 500 сертификационных систем, контролируемых 650 различными организациями. Достаточно трудно защитить одну организацию, сказал он, а пытаться обеспечивать безопасность 650, по его словам, - это залог провала.

    EFF работает над браузерным плагином, который будет проверять SSL сертификаты сайтов в базе данных, находящейся в ведении Tor Project. Данный механизм, даже будучи несовершенным, все равно будет действенной мерой для защиты от подделки. Финальный код должен быть выпущен в этом году.



    источник
     

Поделиться этой страницей