При атаке "человек посередине" в коммуникационной сессии принимают участие три субъекта: клиент, сервер и посредник-злоумышленник, оказывающийся между ними. "Посредник" прикидывается сервером для клиента и клиентом для сервера. Сертификаты придуманы как раз для того, чтобы предотвратить подобные атаки. Поддельный сертификат не пройдёт проверку подписи, так как злоумышленник не может знать секретного ключа сервера. Каким-то образом получить настоящий сертификат - это единственная лазейка для злоумышленника.
Первое сообщение о возможной атаке появилось на форуме техподдержки Google. Некий продвинутый пользователь, проживающий, по его словам, в Иране, пожаловался, что, когда он пытается зайти на Gmail с помощью Chrome, браузер предупреждает его о подозрительном сертификате. По-видимому, сработали добавленные в Chrome в июне дополнительные средства обеспечения безопасности.
"Когда я пользовался VPN, никаких предупреждений не было. Я думаю, это мой провайдер или правительство устроило эту атаку", - добавил автор исходного сообщения. Поскольку все интернет-соединения в стране идут через сеть местной телекоммуникационной компании Ertebatat Zirsakht, предположения, что она замешана в происходящем, не замедлили появиться.
В Google быстро выяснили, что злоумышленник использовал фальшивый SSL-сертификат, выпущенный и уже отозванный голландским центром сертификации DigiNotar. Поддержка всех сертификатов DigiNotar в Chrome была немедленно отключена; на ситуацию также оперативно отреагировали в Microsoft и в Mozilla, отключив сертификаты DigiNotar и в своих браузерах.
Кроме сертификата gmail.com, в распоряжении злоумышленников оказалось более пятисот SSL-сертификатов для целого ряда крупнейших доменов интернета, в числе которых google.com, microsoft.com, mossad.gov.il, mozilla.org, skype.com, torproject.org, windowsupdate.com, twitter.com и aol.com.
Поскольку скандала было уже не утаить, компания VASCO, которой DigiNotar приходится дочерней структурой, признала, что вообще-то о хакерской атаке на DigiNotar было известно с 19 июля. Согласно пресс-релизу, когда вторжение было обнаружено, в DigiNotar направили специалистов по компьютерной безопасности из компании Fox-IT. Они провели аудит и пришли к выводу, что проблема устранена, а все утекшие сертификаты отозваны. Затем последовали полтора месяца молчания, о которых в DigiNotar, наверное, уже жалеют.
События развивались следующим образом. Злоумышленники (или злоумышленник) получили доступ к сети DigiNotar 17 июля и орудовали там ещё пять дней. За это время они завладели административными правами на двух сертификационных серверах и выпустили сотни сертификатов. 19 июля в ходе рутинной проверки сотрудники DigiNotar обнаружили и немедленно отозвали 128 "фальшивых" сертификатов. 20 июля нашлись ещё 129 таких сертификатов. Они были отозваны на следующий день. 27 июля вспыли и тоже были отозваны ещё 75 нелегально полученных сертификатов. 29 июля обнаружен и отозван выпущенный злоумышленниками сертификат google.com.
К тому времени в DigiNotar уже заметили, что эти сертификаты пытаются использовать главным образом с иранских IP-адресов. Дальнейшее исследование вопроса показало, что 99 процентов пользователей, наткнувшихся на "липовый" сертификат google.com (датированный, кстати, 10 июля), находятся в Иране, причём соединения преимущественно осуществлялись через TOR и прокси-серверы. Тем не менее, как указывают в Fox-IT, существует вероятность того, что некоторые почтовые сообщения в Gmail могли быть перехвачены, равно как и пароли. Знание пароля позволяет заинтересованным сторонам постоянно навещать почтовый ящик без ведома хозяина и узнавать пароли уже к другим ресурсам, если их пользователь в качестве основного почтового ящика установил именно gmail.com.
И, возможно, если бы не постинг на форумах поддержки Google, никто бы ничего и не узнал.
Кому и зачем это надо?Вообще-то в данном случае история повторяется. Весной этого года случилось событие, которое злые языки поименовали "Comodogate": центр сертификации Comodo оскандалился, когда его партнёр из Южной Европы пал жертвой сходной атаки, тоже осуществлявшейся с IP-адресов в Иране. Та атака, правда, была куда менее урожайной. Злоумышленникам удалось получить девять поддельных цифровых сертификатов: login.yahoo.com, mail.google.com, www.google.com, login.skype.com, addons.mozilla.org и login.live.com. Получен был и сертификат Global Trustee, с помощью которого злоумышленники могли выдать свой сайт за любой другой. Например, чтобы выманивать у доверчивых пользователей пароли.