военные действия в сети
Mar. 23rd, 2011 11:55 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
avvaReport of incident on 15-MAR-2011
У одной из фирм, которая выдает SSL-сертификаты, взломщикам удалось получить поддельные сертификаты. Судя по всему, этот взлом был организован иранскими властями (!). См. последние несколько строк документа.
Список сайтов, сертификаты на которые удалось получить взломщику, включает в себя Google, Yahoo, Skype, Mozilla, Live.com (Microsoft).
Что это значит, такая кража сертификатов? Представьте себе, что вы живете, ну например в Иране, и пользуетесь, ну скажем GMail'ом или Yahoo Mail'ом. Иранские спецслужбы очень хотят перехватить ваш пароль и прочитать вашу почту. Поскольку они контролирует интернет в Иране, они могут приказать вашему провайдеру так подделать интернет-адреса, что когда вы в браузере идете на "mail.google.com", скажем, на самом деле вы попадаете на какой-то поддельный сайт, который только выглядит, как GMail, и перехватывает ваш пароль. Только это не сработает, потому что сайты GMail и Yahoo! Mail пользуются технологией SSL, и ваши закладки ведут на адреса https://mail.google.com или https://login.yahoo.com. Эта технология позволяет браузеру распознать, что ему выдают поддельную страницу - она не "подписана" настоящим цифровым сертификатом Гугля или Яху - и браузер выдает вам огромное предупреждение о том, что вас по-видимому пытаются обмануть.
Но теперь, после взлома серверов компании Comodo, и выдачи с помощью этого взлома новых сертификатов на эти адреса Гугла, Яху и других сервисов, иранские спецслужбы могут сделать поддельный сайт, который обманет ваш браузер, и вы ничего не заподозрите. Теоретически говоря, существует способ отменить уже выданные сертификаты, и это сделали сразу же после взлома. Когда вы идете на mail.google.com или login.yahoo.com, ваш браузер помимо прочего проверяет, не отменили ли случайно сертификаты этих сайтов, которые он получил. Проблема, однако, в том, что те же иранские власти, контролирующие интернет, могут эту проверку заблокировать, не "пропустив" запрос на проверку, который посылает браузер. А в таком случае, к сожалению, основные браузеры не выдают серьезных предупреждений пользователям.
Что из всего этого следует? Эта сетевая атака была предпринята, по-видимому, по инициативе иранских властей, и основной ее целью являлось получить возможность безнаказанно и незаметно (для всех, кроме весьма подкованных технически пользователей) воровать пароли жителей Ирана - видимо, в первую очередь неблагонадежных жителей, диссидентов, и прочая - читать их почту, подсматривать их скайп, следить за тем, что они ищут в сети, и в целом следить за их активностью на сайтах Гугля, Яху, Майкрософта. Эта цель была достигнута.
У одной из фирм, которая выдает SSL-сертификаты, взломщикам удалось получить поддельные сертификаты. Судя по всему, этот взлом был организован иранскими властями (!). См. последние несколько строк документа.
Список сайтов, сертификаты на которые удалось получить взломщику, включает в себя Google, Yahoo, Skype, Mozilla, Live.com (Microsoft).
Что это значит, такая кража сертификатов? Представьте себе, что вы живете, ну например в Иране, и пользуетесь, ну скажем GMail'ом или Yahoo Mail'ом. Иранские спецслужбы очень хотят перехватить ваш пароль и прочитать вашу почту. Поскольку они контролирует интернет в Иране, они могут приказать вашему провайдеру так подделать интернет-адреса, что когда вы в браузере идете на "mail.google.com", скажем, на самом деле вы попадаете на какой-то поддельный сайт, который только выглядит, как GMail, и перехватывает ваш пароль. Только это не сработает, потому что сайты GMail и Yahoo! Mail пользуются технологией SSL, и ваши закладки ведут на адреса https://mail.google.com или https://login.yahoo.com. Эта технология позволяет браузеру распознать, что ему выдают поддельную страницу - она не "подписана" настоящим цифровым сертификатом Гугля или Яху - и браузер выдает вам огромное предупреждение о том, что вас по-видимому пытаются обмануть.
Но теперь, после взлома серверов компании Comodo, и выдачи с помощью этого взлома новых сертификатов на эти адреса Гугла, Яху и других сервисов, иранские спецслужбы могут сделать поддельный сайт, который обманет ваш браузер, и вы ничего не заподозрите. Теоретически говоря, существует способ отменить уже выданные сертификаты, и это сделали сразу же после взлома. Когда вы идете на mail.google.com или login.yahoo.com, ваш браузер помимо прочего проверяет, не отменили ли случайно сертификаты этих сайтов, которые он получил. Проблема, однако, в том, что те же иранские власти, контролирующие интернет, могут эту проверку заблокировать, не "пропустив" запрос на проверку, который посылает браузер. А в таком случае, к сожалению, основные браузеры не выдают серьезных предупреждений пользователям.
Что из всего этого следует? Эта сетевая атака была предпринята, по-видимому, по инициативе иранских властей, и основной ее целью являлось получить возможность безнаказанно и незаметно (для всех, кроме весьма подкованных технически пользователей) воровать пароли жителей Ирана - видимо, в первую очередь неблагонадежных жителей, диссидентов, и прочая - читать их почту, подсматривать их скайп, следить за тем, что они ищут в сети, и в целом следить за их активностью на сайтах Гугля, Яху, Майкрософта. Эта цель была достигнута.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2011-03-23 10:57 pm (UTC)no subject
Date: 2011-03-23 10:59 pm (UTC)no subject
Date: 2011-03-23 11:09 pm (UTC)чем так мучаться, могли бы с этого начать. Подсовывать пользователям браузеры с видоизмененными сертификатами CA. Многие ли пользователи качают с https да хеши сверяют?
no subject
Date: 2011-03-24 07:23 am (UTC)no subject
Date: 2011-03-23 11:11 pm (UTC)no subject
Date: 2011-03-24 01:20 am (UTC)no subject
Date: 2011-03-24 01:25 am (UTC)no subject
Date: 2011-03-24 10:32 pm (UTC)мне getfirefox.com выдал вот такой линк - http://download.mozilla.org/?product=firefox-4.0&os=linux&lang=en-US
плюс - они задолбаются по https отдавать обновления софта - слишком много вычислительных ресурсов надо.
no subject
Date: 2011-03-24 05:02 am (UTC)no subject
Date: 2011-03-24 09:14 am (UTC)http://support.microsoft.com/kb/2524375
no subject
Date: 2011-03-24 09:37 am (UTC)no subject
Date: 2011-03-24 09:40 am (UTC)