Google znowu odkryło, że ktoś próbuje fałszować certyfikaty SSL jego domen. Tym razem sprawcą nadużycia jest hinduski National Informatics Centre. NIC dysponuje certyfikatami podrzędnego urzędu certyfikacji wystawionymi przez Indian Controller of Certifying Authorities, a certyfikat tej instytucji jest na liście zaufanych w Microsoft Root Store, przez co ufają mu przeglądarki takie jak Internet Explorer czy Chrome (Firefox korzysta ze swojej listy certyfikatów). Użytkownicy Chrome’a nie mogli paść ofiarą podsłuchu, ponieważ ta przeglądarka ma zapisane na stałe prawidłowe podpisy zaufanych certyfikatów Google (tzw. certificate pinning), natomiast niewykluczone, że mogły zostać sfałszowane także certyfikaty innych domen. Certyfikaty NIC zostały odwołane, organizacja prowadzi w tej chwili śledztwo mające pomóc ustalić, jak doszło do nadużycia.
Przebieg ataku MiTM na SSL
W całym incydencie najbardziej zastanawiające jest dla nas nie to, jak ktoś wystawił takie certyfikaty (choć może to być tematem interesującego artykułu), ale to, czemu w ogóle atakował domeny Google. Przecież wiadomo, że dzięki Chrome Google natychmiast wykrywa próby podrobienia swoich certyfikatów i taka strategia jest bardzo krótkotrwała. Jak pokazuje historia (Diginotar 2011, Turktrust 2012 czy ANSSI 2013) tego typu przypadki są bardzo szybko identyfikowane a urzędy certyfikacji, które do tego dopuściły, mają spore problemy. Może po prostu chodziło o to, by utrzymać statystykę jednego incydentu tego typu rocznie?
Osobom zainteresowanym taką historią polecamy nasz opis francuskiego przypadku z zeszłego roku.
Komentarze
Firefox nie, Chrome nie, czyżby liczyli na użytkowników IE? ;)
Moim zdaniem atak ukierunkowany. Pytanie kto był tak interesującym celem, że spalono źródło lewych certyfikatów, no i w jaki sposób google się zorientowało? Jeśli to masówka, to cel rzeczywiście nie najlepszy.