Разработчики проекта Tor обнаружили фальшивый сертификат *.torproject.org, выданный американской компанией Cyberoam. Сертификат сгенерирован с целью обмана пользователей, которые хотят установить защищённое соединение с сайтом *.torproject.org, в то время как на самом деле канал связи открыт для издателей сертификата. Образец фальшивого сертификата прислал пользователь из Иордании.
Спрашивается, зачем компании Cyberoam понадобилось генерировать такой сертификат, и что это вообще за компания? Ответ известен: фирма Cyberoam занимается разработкой и продажей программно-аппаратных комплексов для глубокой инспекции пакетов (deep packet inspection, DPI) или, проще говоря, систем массового слежения за пользователями интернета. Подобный софт обычно устанавливают на магистральных каналах связи, чтобы анализировать интернет-трафик тысяч пользователей.
Представители проекта Tor обнаружили, что фальшивый сертификат принимается всеми версиями устройств Cyberoam. Компания-производитель уведомлена об «уязвимости» 30 июня, ей также сообщили, что данная информация будет опубликована в открытом доступе 3 июля, что представители Tor Project и сделали вчера.
На первый взгляд может показать, что инцидент с сертификатом *.torproject.org аналогичен случаям с фальшивыми сертификатами Comodo и DigiNotar, когда неизвестные злоумышленники смогли взломать сертификатора и выдать от его имени сертификат. Но представители Tor считают, что в данном случае ситуация иная: самим пользователям не предъявлялись фальшивые сертификаты, они использовались исключительно системой DPI для перехвата соединения.
В ходе исследования проблемы специалисты Tor также обнаружили, что все сертификаты на всех устройствах Cyberoam DPI генерируются с помощью одного и того же секретного ключа. Таким образом, владелец любого устройства Cyberoam может изучать трафик в любой другой сети, где установлено устройство Cyberoam.