15 марта один из партнёров компании Comodo, являющейся одним из крупнейших поставщиков SSL-сертификатов, подвергся атаке, в результате которой злоумышленникам удалось получить 9 поддельных цифровых сертификатов для таких доменов, как login.yahoo.com, mail.google.com, www.google.com, login.skype.com, addons.mozilla.org, login.live.com. Получен был и сертификат Global Trustee, с помощью которого злоумышленники могли выдать свой сайт за любой другой. Например, чтобы выманивать пароли доступа.
Собственно, партнёра Comodo — неназванную компанию из Южной Европы — удалось «вскрыть» именно благодаря получению логинов и паролей к одному или нескольким аккаунтам, связанным с этой компанией. Каким образом эти данные были получены, неизвестно, но так или иначе злоумышленники смогли направить в Comodo запрос на выпуск нужных им сертификатов.
К счастью, атаку удалось довольно быстро обнаружить; все сертификаты (их список приводится здесь) были отозваны, все производители браузеров и владельцы перечисленных доменов немедленно поставлены в известность. «Живьём» был замечен только один сертификат — на некоем иранском сайте, быстро переставшем отзываться.
Comodo утверждает, что их собственная инфраструктура, связанная с выдачей сертификатов, не подвергалась взлому; ключи доступа аппаратных модулей безопасности остались неприкосновенными, так что катастрофы, в общем-то, и не случилось. Хотя Фонд электронного фронтира в своём анализе назвал произошедшее ситуацией на грани «мелтдауна» и призвал все заинтересованные стороны принять меры к усилению безопасности инфраструктуры интернета в целом.
Стоит добавить, что атаки шли с нескольких IP-адресов, большая часть которых, однако, относится к Иранской республике. Иными словами, имела место попытка своего рода кибертеррористического акта, который мог бы обойтись миру крайне дорого, если бы не был вовремя обнаружен. Причём, как подозревают в Comodo, попытка эта осуществлялась с ведома и при поддержке иранских властей.
«Поддельные» цифровые сертификаты могут быть использоваться, во-первых, для того, чтобы незаметн подключаться к зашифрованным соединениям и следить за происходящим. Кстати, то, что большая часть доменов, для которых злоумышленники получили сертификаты, относится к крупнейшим «социальным» ресурсам, как раз указывает на то, что их интересовала именно возможность незаметной слежки.
Кроме того, такие сертификаты — лакомый кусок для фишеров, поскольку они могут придавать кажущуюся легитимность вредоносным копиям известных Интернет-ресурсов. Но, поскольку эти сертификаты уже отозваны, то они, в сущности, бесполезны.
Другое дело, что все браузеры постоянно проверяют актуальность сертификатов, обращаясь к определённым адресам; так что использовать именно эти сертификаты возможно лишь в том случае, когда доступ к тем адресам перекрыт. Провернуть такое возможно только на государственном уровне — в странах, где фильтруется интернет, государственные провайдеры блокируют нужные адреса, и дальше соответствующие органы с помощью фальшивых сертификатов спокойно просматривают переписку своих диссидентов.