Хакерская атака против
SSL, обнаруженная на прошлой неделе, возможно, имела более серьезные
последствия, чем сперва предполагали, поскольку Comodo сообщает, что пострадали
еще две ассоциированные компании.
В сообщении на сейте mozilla.dev.security.policy технический директор
компании Comodo Робин Алден сообщил, что сайты двух ассоциированных компаний
также были взломаны во время подобных атак. Но там злоумышленники не успели
выпустить поддельные сертификаты, поскольку атаки были своевременно
зафиксированы и брешь закрыта.
По его словам, в связи с нападениями Comodo укрепляет безопасность, чтобы
справиться с новыми угрозами для SSL инфраструктуры.
"Мы применяем как ограничение подключений по IP адресу, так и систему
двухфакторной аутентификации на основе токенов", - написал Алден.
"Внедрение двухфакторных токенов находится в процессе, и чтобы завершить его
потребуется пара недель. Пока данный процесс не закончен, Comodo будет выполнять
100-процентную проверку всей работы перед выпуском любого сертификата".
Первоначально компания обвиняла Иранское правительство, но после этого кто-то
заявил, что он один
осуществлял эту атаку и опубликовал код, чтобы доказать это.
Несмотря на то, что последствия взлома были сведены к минимуму посредством
быстро принятых мер производителями браузеров и другими организациями, данная
ситуация подняла серьезные вопросы о состоянии безопасности SSL.
"То, что мы сейчас видим - это сигнал о наличии фундаментальных проблем с SSL",
- сообщил Питер Экерсли, ведущий технолог Electronic Frontier Foundation (EFF).
"Просто в системе много критических точек".
Он пояснил, что исследование, проведенное EFF показало, что существует 1 500
сертификационных систем, контролируемых 650 различными организациями. Достаточно
трудно защитить одну организацию, сказал он, а пытаться обеспечивать
безопасность 650, по его словам, - это залог провала.
EFF работает над браузерным плагином, который будет проверять SSL сертификаты
сайтов в базе данных, находящейся в ведении Tor Project. Данный механизм, даже
будучи несовершенным, все равно будет действенной мерой для защиты от подделки.
Финальный код должен быть выпущен в этом году.
