Найден поддельный SSL-сертификат для сервисов компании Google

В сети Интернет появилась информация о поддельном сертификате безопасности для доменов в группе *.google.com. Сертификат выдан центром удостоверения подлинности DigiNotar, так что браузеры пользователей считают его настоящим.

Средства массовой информации уже сообщают о совершении атак на пользователей в Иране с использованием этого поддельного сертификата. Пользователи сервисов Google в этой республике при попытке обращения к сайтам, расположенным на домене google.com перенаправлялись на некий промежуточный узел, а уже с него — на настоящие сервера Google. В результате злоумышленники могли перехватить всю информацию, с которой работали пользователи через защищенное соединение, внедриться в их переписку или рассылать от их имени зловредное программное обеспечение. Браузеры подтверждали валидность сертификата поддельного сервера и не выдавали предупреждений.

Единственным исключением стал браузер Google Chrome, сообщавший, что сервер может не принадлежать Google. Внимательность Google Chrome связана с тем, что помимо проверки валидности сертификата, проводится еще ряд проверок сертификатов Google.

Сообщается, что сертификат был получен злоумышленниками в результате успешной атаки на удостоверяющий центр DigiNotar. Атака была зафиксирована 19 июля, и в ее ходе злоумышленники сумели сгенерировать несколько поддельных сертификатов, в том числе и для домена google.com. В настоящее время ведется расследование атаки, и официальных комментариев по поводу инцидента пока не поступало.

Следует отметить, что компания DigiNotar еще 19 июля заявила, что все поддельные сертификаты сразу же были отозваны. Однако пример поддельных сертификатов google.com их опровергает. Кроме того, на сегодняшний день неизвестно количество поддельных сертификатов, остающихся под контролем злоумышленников — вполне возможно, что *.google.com дело не ограничится.

На момент написания материала поддельный сертификат уже отозван и ведется расследование обстоятельств, при которых он был создан. До окончания разбирательства остается вероятность, что данный сертификат был не единственным. В связи с этим разработчики браузеров Google Chrome, Internet Explorer, Mozilla Firefox и Seamonkey заявили о временном удалении корневого сертификата удостоверяющего центра DigiNotar из базовой поставки. В ближайшее время будут выпущены соответствующие обновления.

Между тем, Electronic Frontier Foundation, организация, занимающаяся исследованиями в области безопасности в сети Интернет, убеждена, что масштаб опасности больше, чем принято считать. По наблюдениям EFF за последние два года было зафиксировано 12 случаев взлома центров сертификации и генерации поддельных сертификатов. Учитывая, что сегодня сертификаты выдают около 650 разных организаций, в распоряжении которых находится почти полторы тысячи удостоверяющих центров, возможность появления поддельных сертификатов увеличивается с каждым днем. При этом, при инициации защищенного соединения, браузер вынужден полагаться на имеющиеся у него списки удостоверяющих центров и считать все сертификаты, выданные в этих центрах, валидными.

По мнению представителей Electronic Frontier Foundation, вполне вероятно, что в Сети существует большое количество поддельных сертификатов, которые могут месяцами и даже годами оставаться незамеченными. Тем более, что сертификат для такого популярного домена как google.com был обнаружен спустя почти два месяца. Эксперты фонда также отмечают, что сертификат DigiNotar был первым, который был обнаружен не в процессе внутренней проверки инфраструктуры удостоверяющего центра, а в самом Интернете.