15 марта один из партнёров компании Comodo, являющейся одним из крупнейших поставщиков SSL-сертификатов, подвергся атаке, в результате которой злоумышленникам удалось получить 9 поддельных цифровых сертификатов для таких доменов, как login.yahoo.com, mail.google.com, www.google.com, login.skype.com, addons.mozilla.org, login.live.com. Получен был и сертификат Global Trustee, с помощью которого злоумышленники могли выдать свой сайт за любой другой. Например, чтобы выманивать пароли доступа.

Собственно, партнёра Comodo – неназванную компанию из Южной Европы – удалось “вскрыть” именно благодаря получению логинов и паролей к одному или нескольким аккаунтам, связанным с этой компанией. Каким образом эти данные были получены, неизвестно, но так или иначе злоумышленники смогли направить в Comodo запрос на выпуск нужных им сертификатов.

К счастью, атаку удалось довольно быстро обнаружить; все сертификаты (их список приводится здесь) были отозваны, все производители браузеров и владельцы перечисленных доменов немедленно поставлены в известность. “Живьём” был замечен только один сертификат – на некоем иранском сайте, быстро переставшем отзываться.

Comodo утверждает, что их собственная инфраструктура, связанная с выдачей сертификатов, не подвергалась взлому; ключи доступа аппаратных модулей безопасности остались неприкосновенными, так что катастрофы, в общем-то, и не случилось. Хотя Фонд электронного фронтира в своём анализе назвал произошедшее ситуацией на грани “мелтдауна” и призвал все заинтересованные стороны принять меры к усилению безопасности инфраструктуры интернета в целом.

Стоит добавить, что атаки шли с нескольких IP-адресов, большая часть которых, однако, относится к Иранской республике. Иными словами, имела место попытка своего рода кибертеррористического акта, который мог бы обойтись миру крайне дорого, если бы не был вовремя обнаружен. Причём, как подозревают в Comodo, попытка эта осуществлялась с ведома и при поддержке иранских властей.

“Поддельные” цифровые сертификаты могут быть использоваться, во-первых, для того, чтобы незаметн подключаться к зашифрованным соединениям и следить за происходящим. Кстати, то, что большая часть доменов, для которых злоумышленники получили сертификаты, относится к крупнейшим “социальным” ресурсам, как раз указывает на то, что их интересовала именно возможность незаметной слежки.

Кроме того, такие сертификаты – лакомый кусок для фишеров, поскольку они могут придавать кажущуюся легитимность вредоносным копиям известных Интернет-ресурсов. Но, поскольку эти сертификаты уже отозваны, то они, в сущности, бесполезны.

Другое дело, что все браузеры постоянно проверяют актуальность сертификатов, обращаясь к определённым адресам; так что использовать именно эти сертификаты возможно лишь в том случае, когда доступ к тем адресам перекрыт. Провернуть такое возможно только на государственном уровне – в странах, где фильтруется интернет, государственные провайдеры блокируют нужные адреса, и дальше соответствующие органы с помощью фальшивых сертификатов спокойно просматривают переписку своих диссидентов.