22:26
4/9/2011

Od prawie 2 miesięcy irański rząd miał możliwość przechwytywania ruchu internetowego swoich obywateli. W tym celu wygenerowano fałszywe certyfikaty dla domen należących do m.in. Google, Mozilli i projektu TOR.

Atak wykrył użytkownik Google Chrome

Atak został wykryty przez użytkownika przeglądarki Google Chrome, która w maju wprowadziła funkcję “public key pinning“. (w uproszczeniu: Google zahardcodowało w Chrome fingerprinty swoich kluczy i dzięki temu wykrywa, czy certyfikaty dla googlowych domen są prawdziwe).

Google Iran

Połączenia do Google podsłuchiwane przez Iran

Fałszywy certyfikat Google (plik certyfikatu) używany przez Iran został wydany 11 lipca 2011 roku. Wystawcą jest holenderska firma DigiNotar. Niestety firma nie jest zbyt wylewna, jeśli chodzi o wyjaśnienia co i jak. Przyznała tylko, że 19 lipca odkryła włamanie do swojej sieci i usunęła nielegalnie wystawione certyfikaty. Okazuje się jednak, że pominęła ten googlowy… a może jeszcze jakiś?

Jak uchronić się przed fałszywymi certyfikatami?

Nowe wersje Google Chrome i Firefoksa mają wbudowane blacklisty certyfikatów użytych do ataków. W kodzie przeglądarki Chrome zblacklistowano 247 certyfikatów. W ochronie przed podobnymi atakami pomóc może rozszerzenie do Firefoksa o nazwie Convergence. Warto też rozważyć ręczne usunięcie CA DigiNotar.

To nie pierwszy raz, kiedy Iran jest powiązany z fałszerstwami certyfikatów. W marcu na jaw wyszło włamanie do Comodo w wyniku którego sfałszowano 7 certyfikatów największych internetowych serwisów. Czyżby Iran mścił się za Stuxneta?

P.S. F-Secure znalazł na serwerach DigiNotar ciekawe pliki będące wynikiem deface’ów z …2009 roku.

Aktualizacja 5.09.2011, 23:50
Okazuje się, że wykradziono więcej niż 500 certyfikatów – w tym wygenerowano fałszywe certyfikaty dla *.*.com i *.*.org — czyli sporej części internetu…

Przeczytaj także:

21 komentarzy

Dodaj komentarz
  1. wypadaloby jeszcze podac zrodlo informacji, ze sprawca jest “iranski rzad”.
    hint: to nie ma takiego, to spekulacje.

    • Pierwszy link w tekście, jurku, pod słowem “wykryty” daje ci źródło całej historii i dowód, którego szukasz :-) W skrócie: Pan z Iranu jest obiektem MITM przez swojego ISP. Dodatkowo, warto zauważyć, że cały ruch z Iranu przechodzi przez jeden rządowy punkt wymiany ruchu.

  2. A czy dla Opery nie ma podobnej wtyczki jak do FF – Convergence?

  3. Ja to chyba wywale RSS niebezpiecznika… z takim refleksem? Sprawa wisi juz niemal od tygodnia…

  4. Między innymi wystawione są nielegalne certyfikaty na *.*.com i *.*.org
    Czyli jest nieźle.
    Oprócz tego domeny wordpress, mozilla, microsoft, aol, facebook. Oraz sporo certyfikatów innych CA. Dłuższa lista jest dostępna np. tutaj:
    http://blog.gerv.net/2011/09/updated-diginotar-cn-list/

    Nie wiem jak w tym momencie, ale jeszcze kilkanaście godzin temu śmigały na Safari (w innych przeglądarkach wyszły już patche). To tyle, jeżeli chodzi o bezpieczeństwo produktów Apple.

    Aha. W Firefoksie zablokowana jest cała gałąź pochodząca od DigiNotar, unieważniono wszystkie certyfikaty, co argumentowano, że DigiNotar nie można już ufać, bo sami nie wiedzą co zostało w ich imieniu wydane. Czyli przynajmniej w lisku nie trzeba nic blokować.

    • Podobnie powinno być w IE. Microsoft też wyciął ich CA w pień. (Google chyba też usunęło z Chroma)

    • A więc DigiNotar stracił prawo bytu. Ciekawi mnie natomiast co oni teraz zrobią? zmienią nazwę firmy/domene i będą znowu handlować na tych samych zasadach/skrypcie(?) co obecnie?

    • sprwadzilem Opere i po ostatnim patchu tez wycieli ich w pien, po za tym warto tez miec wtyczke od jakiegos AV ktora sprawdza takie rzeczy na bierzaco [ u mnie web AVASTA ]

    • @q7: poprzymierają, Holender, głodem

  5. Debian również wyciął ich z ca-certificates

  6. Nawet trochę informacji jest na wiki odnośnie tego.

  7. […] donosi niebezpiecznik, jeden z użytkowników przeglądarki Chrome wykrył, iż rząd jego kraju stworzył aż przeszło […]

  8. A czy ktoś mógłby wyjaśnić w kilku prostych słowach jak działa ta wtyczka “Convergence”, bo się trochę rozleniwiłem po urlopie :) ?

  9. Tak na dobre to człowiek nie jest się chyba zabezpieczyć na 100 % przed zagrożenia w sieci.

    • Oczywiście, że jest się w stanie. Wystarczy odpiąć kabel. : )

    • Oj, uważaj. A jak w skrzynkę walnie piorun i po tym kablu do Ciebie doleci? Przewidział byś taki wektor ataku?

  10. I to dowodzi, że certyfikaty są złym pomysłem.
    Fałszywe poczucie bezpieczeństwa jest groźnie.

  11. memm, masz lepszy? ;)
    łatanie na potęgę, ff na ubuntu dzisiaj rano mi się zaktualizował, teraz wyskoczył mi update do XP:

    “Zainstalowanie tej aktualizacji rozwiązuje problem, który powodował konieczność aktualizacji listy odwołania certyfikatów w systemach Windows, i umożliwia zachowanie aktualności listy certyfikatów systemu. Po zainstalowaniu tej aktualizacji konieczne może być ponowne uruchomienie systemu.

    Więcej informacji o tej aktualizacji można znaleźć pod adresem http://go.microsoft.com/fwlink/?LinkId=227571

  12. Jest jeszcze jedna opcja. Dziś na Viście dostałem powiadomienie o tej ważnej aktualizacji:

    http://www.microsoft.com/technet/security/advisory/2607712.mspx

  13. […] wskazuje na to, że za wygenerowaniem 500+ fałszywych certyfikatów w DigiNotar stoi Irańczyk, którego znamy z marcowych ataków na CA […]

Odpowiadasz na komentarz RobertO

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.