Comodo, a Jersey City, NJ perusahaan yang berbasis di masalah sertifikat digital, mengatakan sembilan sertifikat yang curang diperoleh, termasuk satu untuk Microsoft Live.com, telah dicabut. Sebuah sertifikat penipuan memungkinkan seseorang untuk menyamar sebagai versi aman dari situs web yang digunakan ketika koneksi terenkripsi diaktifkan dalam beberapa keadaan.
Alamat IP yang digunakan dalam serangan itu berada di Teheran, Iran, kata Comodo, yang percaya bahwa karena fokus dan kecepatan serangan, itu adalah "state-driven" Spoofing situs-situs Web akan memungkinkan pemerintah Iran untuk menggunakan apa yang dikenal sebagai seranganman-in-the-middle untuk meniru situs yang sah dan mengambil password, membaca pesan e-mail, dan memantau kegiatan-kegiatan lain yang dilakukan warga negaranya , bahkan jika sambungan ini dilindungi dengan SSL (Secure Socket Layer) enkripsi.
Penyerang diuji sertifikat untuk "login.yahoo.com," tetapi karena telah dicabut, browser yang paling berusaha untuk berkomunikasi dengan situs akan melihat bahwa itu bukan situs terpercaya, Comodo Chief Executive Melih Abdulhayoglu mengatakan pada CNET.
Spoofing hanya akan bekerja jika para pelaku tidak diketahui juga mengoperasikan jaringan, memungkinkan mereka untuk menggunakan sistem nama domain Internet untuk mengarahkan pengguna yang tidak bersalah ke situs Gmail.com palsu. Itu tidak akan menjadi masalah bagi pemerintah nasional seperti Iran, yang mengendalikan infrastruktur telekomunikasi, tetapi berarti bahwa akan dampak seperti pelanggaran keamanan terbatas.
Semua nama domain yang terkena "harus dilakukan dengan komunikasi - mereka tidak termotivasi finansial sama sekali," kata Abdulhayoglu. "Mereka pasti telah melakukan pengawasan dan mereka tahu persis bagaimana masuk (ke sistem mitra Comodo) Ini adalah serangan yang direncanakan cukup baik dalam pelaksanaannya.." Dia menolak untuk nama mitra Eropa selatan yang sistem yang terganggu, dan mengatakan Iran server sekarang offline.
Alamat IP Iran itu terkait dengan kompromi dari otoritas pendaftaran Eropa berafiliasi dengan Comodo pada tanggal 15 Maret, menurut Comodo lain posting blog yang ditulis oleh Wakil Presiden Philip Hallam-Baker. Beberapa alamat IP yang digunakan, namun terutama adalah alamat IP dari Iran, yang terpisah laporan kejadian mengatakan.
Jika Comodo benar tentang serangan yang berasal dari pemerintah Iran itu, tidak akan menjadi pemerintah pertama yang telah melakukan sesuatu seperti ini. Akhir tahun lalu, pemerintah Tunisia melakukan skema ambisius untuk mencuri seluruh negara senilai Gmail, Yahoo, dan password dapat. Ini digunakan kode JavaScript berbahaya untuk mengalirkan log-in tidak terenkripsi, yang memungkinkan pemerintah untuk menyusup atau menghapus diskusi yang berhubungan dengan protes.
"Ini tidak luput memperhatikan bahwa domain yang ditargetkan akan digunakan terbesar kepada pemerintah mencoba pengawasan dari penggunaan Internet oleh kelompok pembangkang," tulis Hallam-Baker. "Serangan terjadi pada saat banyak negara di Afrika Utara dan wilayah Teluk menghadapi protes populer dan banyak komentator telah mengidentifikasi Internet dan di situs jaringan sosial tertentu sebagai alat utama untuk mengorganisir protes."
Banyak pembuat browser utama sudah memiliki dicabut sertifikat SSL penipuan. Mozilla mengatakan tadi malam bahwa "kita telah memperbarui Firefox 4.0, 3.6, dan 3,5 untuk mengakui sertifikat tersebut dan blok secara otomatis. " Google Chrome telah diperbarui, dan Microsoft mengatakan dalam sebuahpenasehat keamanan yang dihubungi oleh Comodo pada tanggal 16 dan "pembaruan tersedia untuk semua versi didukung Windows untuk membantu mengatasi masalah ini."
"Masalah ini mempengaruhi setiap aplikasi atau layanan menggunakan sertifikat SSL yang mencoba untuk mengakses salah satu situs Web dengan tombol penipuan. Kami memutuskan untuk mengambil pendekatan holistik untuk melindungi pengguna," kata Bruce Cowper, kelompok manajer Trustworthy Computing di Microsoft, dalam e-mail. "Kami membangun mitigasi ke dalam Microsoft Windows sehingga setiap aplikasi atau versi Internet Explorer leverage bisa untuk perlindungan."
Apple tidak segera menanggapi permintaan komentar.
Opera tidak memerlukan patch khusus untuk masalah tersebut, seorang juru bicara mengatakan, menambahkan bahwa perusahaan sedang mempertimbangkan daftar hitam sembilan sertifikat curang, bagaimanapun. "Karena potensi penyerang tidak akan bisa mendapatkan yang valid OCSP (Online Certificate Status Protocol) respon dengan sertifikat ini,pengguna Opera akan mendapatkan umpan balik visual langsung," katanya dalam sebuah e-mail. "Ketika kita tidak mendapatkan jawaban OCSP valid, kami akan mengubah tingkat keamanan halaman lock pad dan keamanan akan hilang. Pengguna akan mengetahui bahwa situs tersebut tidak lagi aman. Kita mungkin satu-satunya browser yang menangani OCSP tidak valid dengan cara ini. "
No comments
Post a Comment