Chester Wisniewski, a Sophos Canada biztonsági tanácsadója, a Sophos NakedSecurity blogból
A tegnapi hírek után, amelyek egy Iránban talált hamis tanúsítványról szóltak, és amellyel egy támadó a Google.com-ot személyesítheti meg, a Vasco (a DigiNotar tanúsítvány hivatal anyacége) kiadott egy közleményt elmagyarázva azt, hogy mi történt.
Ahogy az a biztonsági incidenseknél szokott lenni, a közlemény nem ment bele a részletekbe, de elárulták, hogy a tanúsító hatóságot hackelték meg és „számos tartomány" tanúsítványát írták alá a hackerek saját gyökértanúsítványukkal.
A tanúsító hatóságok „megbízható" entitások, akik érvényesítik a tanúsítványokat, amelyekkel az emberek titkosított kapcsolatokat kezdeményezhetnek webszerverek irányába.
Ők felelősek egy tanúsítványt igénylő entitás azonosításának megerősítéséért, így az emberek nem lesznek képesek más személyek szervereit megszemélyesíteni.
A DigiNotar észlelte, hogy július 19.-én meghackelték őket, de a behatolás legkorábban 2011 július 10.-én kezdődhetett.
Elvégeztek egy auditot és visszavonták az összes hamisan kiadottnak gondolt tanúsítványt, de valahogyan pont azt hagyták ki, amelyet a Google megszemélyesítésére hoztak létre.
A Google tanúsítvány kihagyása kérdéseket vet fel a végrehajtott audit minősége és mélysége szempontjából. Ahogy az is, hogy az audit után Mikko Hypponen az F-Secure-tól felfedezett jónéhány meghackelt weboldalt a DigiNotar oldalán, még 2009 májusi dátumozással.
Mit takar a „számos tartomány"? A DigiNotar nem árulta el nekünk, de ha egy gyors pillantást vetünk a Chromium forráskódjára (a Chrome OS és a Chrome böngésző nyílt forráskódú verziója), azt láthatjuk, hogy a Google 247 új tanúsítványt blokkolt.
Ezek mind a DigiNotar által kiadottak? Nehéz megmondani.
Azonban mivel korábban csak 10 volt ezek közül blokkolva, ez elég erős bizonyítékot jelent, hogy ezek a további feketelistára tett tanúsítványok valószínűleg ezen incidens részét képezték.
Mi csak spekulációkba bocsátkozhatunk azt illetően, hogy mely további tartományok lehettek a hackerek célpontjai, de nem nehéz elképzelni, hogy az az illető, aki a Google forgalma után kémkedett, más olyan szolgáltatókat és szolgáltatásokat is célba vett, mint amilyen a Facebook, a Microsoft, a Yahoo és a Skype.
A DigiNotar azon képessége, hogy egy ekkora incidens ilyen sokáig titokban tudott tartani megmutatja, hogy a tanúsító hatóságokba vetett bizalmunk helytelen volt.
Arra alapozni, hogy egy tanúsítványt visszavonva meg lehet védeni az internetes felhasználókat felelőtlenség, mivel a legtöbb böngésző és operációs rendszer elégtelen munkát végez ezen listák elfogadása terén.
A DigiNotar kiadott egy holland nyelvű leírást, amelyben elmagyarázzák, hogy a tanúsítványokkal kapcsolatos böngésző figyelmeztetések 99,99%-a figyelmen kívül hagyható.
Ez egy borzasztó tanács. Míg a DigiNotar ügyfeleinek nehézkes tanúsítványaik újakra cserélése, ez az egyetlen megoldás.
Ha a DigiNotar kiadta volna a hamisan aláírt tanúsítvánnyal rendelkező tartományok listáját, könnyebb lenne a helyzet.
A jelenleg is létező tanúsító rendszer talán nem ideális, de a tanúsítvány figyelmeztetéseket nem szabad figyelmen kívül hagyni.
További információ angol nyelven