Xakep #305. Многошаговые SQL-инъекции
Специалисты по безопасности обнаружили подложный сертификат Google.com,
распространяющийся по Интернету, который дает хакерам ключи шифрования,
необходимые для подделки сайта Gmail и практически всех остальных сайтов
поискового гиганта.
Поддельный сертификат была выпущен 10 июля для подписи страниц Google,
защищенных SSL. Сертификат был выпущен компанией DigiNotar, центром
сертификации, располагающимся в Нидерландах. Подложный сертификат предназначен
для *.google.com. С его помощью злоумышленники могут руководить атаками,
нацеленными на широкий круг пользователей Google, посещающими страницы,
контролируемые фальсификаторами.
Это уже, по крайней мере, второй случай за последние пять месяцев, когда
посторонние лица завладевали действующими сертификатами, которые используются
для удостоверения действительной принадлежности сайтов. В марте хакеры
взломали серверы органов,
отвечающих за выпуск сертификатов, и выпустили действующие сертификаты для
Google Mail и шести других доменов. Потребовалось восемь дней для того, чтобы
заблокировать поддельные сертификаты на всех основных браузерах и гораздо больше
времени, чтобы поместить их в черные списки постовых программ.
Этот случай вскрыл ряд
серьезных уязвимостей в сетевых службах, основывающихся на доверии, т.к.
хакеры смогли создать точные подделки настолько убедительные, что было
практически невозможно определить, что сеть была атакована хакерами. Атака
выполнялась под эгидой центра сертификации Comodo и исходила от серверов с
иранскими IP-адресами.
Атака, осуществленная в понедельник, имела схожий характер.
"Для нас в этом нет ничего удивительного", - комментирует Мокси Марлинспайк,
исследователь и частый критик системы SSL. "Это происходит все время.
Единственным важным является то, что уязвимость должна быть вовремя обнаружена".
Google и Mozilla откликнулись на факт существования фальшивок тем, что
разработали обновления для Chrome, Firefox и других браузеров, которые будут
блокировать все сертификаты, исходящие от DigiNotar до тех пор, пока ведется
расследование дела.
Согласно посту, опубликованному в воскресенье одним пользователем, называющем
себя alibo, поддельный сертификат обнаружил себя, когда он попытался зайти в
Gmail через браузер Google Chrome.
"Я считаю, что ISP или мое правительство осуществили эту атаку (потому что я
живу в Иране и слышал кое-что, касающееся истории с хакером Comodo)".
Нет никаких подтверждений заявления alibo о том, что иранские ISP, включая
ParsOnline, использовали сертификат для Gmail. Однако, опубликованный им
сертификат показал, что он был издан 10 июля именно DigiNotar, которая
подписывает все URL, имеющие отношение к Google.com.
"Этой организации должен быть вынесен смертный приговор. Их беспечность могла
привести к смертям в Иране", - пишет неизвестный исследователь, верифицировавший
сертификат. "Этот сертификат был издан в ИЮЛЕ 2011, а сейчас уже почти сентябрь.
Он используется прямо сейчас и против реальных людей в Иране".
"Мы планируем заблокировать все сайты, подписанные DigiNotar на время, пока
проводится расследование", - сообщила компания Google.
В то же время в Mozilla сообщили, что они планируют издать обновления для
Firefox, Thunderbird и SeaMonkey в ближайшем будущем, и это должно "подорвать
доверие к DigiNotar и защитить пользователей от дальнейших атак". Они
опубликовали
инструкции для пользователей, которые не хотят ждать обновления для очистки
своих браузеров от DigiNotar.
Представители DigiNotar так и не дали никаких комментариев.
"Кто бы ни стоял за этим сертификатом, он работает с ним с 10 июля, то есть
почти в течение 40 дней!", - пишет Мелих Абдулхайоглу , генеральный директор
Сomodo. "Возможно они им уже хорошенько воспользовались. Мне трудно поверить в
то, что все это делается для очернения имени компании, в противном случае, они
опубликовали бы его сразу же после получения".
Абдулхайоглу говорит, что сертификат был объявлен недействительным в
понедельник, однако, этот статус не отменяет атак, которые уже запущены.
Единственный надежный способ заблокировать сертификат – это обновлять каждый
браузер, e-mail клиент и другое ПО, относящееся к сертификатам SSL, и помещать
фальшивые сертификаты в черные списки.
Это означает, что сертификат будет оставаться опасным до тех пор, пока все
разработчики ПО, работающие с SSL, не издадут свои патчи. Неизвестно, сколько
времени это займет.