سرقت گواهینامه های SSL | امکان سوء استفاده از Windows Update نیست

از میان 531 گواهینامه غیرمجاز به سرقت رفته از شرکت هلندی DigiNotar، نزدیک به 13 گواهینامه مربوط به سایت‎های شرکت مایکروسافت می‏شود. این سایت ها عبارتند از:Windowsupdate.com و update.microsoft.com و Microsoft.com.

طبق اعلام شرکت مایکروسافت، سایت windowsupdate.com مدتهاست که دیگر مورد استفاده قرار نمی‎گیرد و لذا گواهینامه‎های مربوط به این سایت ارزش چندانی نخواهند داشت.

همچنین فایل‎های اصلاحیه و به روز رسانی که از طریق سرویس‎های ویژه مایکروسافت توزیع می شوند دارای گواهینامه‎های دیجیتالی خاصی هستند که فقط توسط خود مایکروسافت صادر می‎شوند. لذا گواهینامه‎های update.microsoft.com که توسط شرکت‎های CA (صادر کننده گواهینامه) متفرقه (به غیر از مایکروسافت) صادر شده باشند، هیچ وقت قابل استفاده نیستند و معتبر شناخته نخواهند شد.

با توجه به این توضیحات، امکان این که با سوءاستفاده از این گواهینامه‎های غیرمجاز بتوان سرویس Windows Update مایکروسافت را منحرف کرده و از این طریق اقدام به توزیع انواع فایل‎های مخرب و بدافزار کرد، به هیچ وه وجود ندارد.

با این حال، فرد نفوذگر که خود را Comodohacker معرفی می کند با انتشار یک اعلامیه، ضمن رد سخنان مایکروسافت، مدعی گردید که می تواند از طریق سرویس Windows Update هر نوع فایلی را بین کاربران در سطح دنیا، توزیع کند. وی قول داد که به زودی نمونه ای از اینکار را نشان دهد.

توضیح درباره شرکت Diginotar و سرقت گواهینامه های دیجیتالی SSL :  شرکت DigiNotar یک شرکت Certificate Authority) CA) است و مجوز صدور گواهینامه‎های دیجیتالی Secure Socket Layer) SSL) را دارد. شرکت Diginotar یکی از 500 شرکت صادرکننده گواهینامه‎های دیجیتال SSL در دنیا است. اخیراً شبکه این شرکت مورد حمله و نفوذ قرار گرفت و صد‎ها گواهینامه (اصل ولی غیرمجاز) توسط نفوذگرها صادر و سرقت شد. این گواهینامه‎ها برای اثبات اصالت سایت‎های اینترنتی به کار می‎روند. با استفاده از گواهینامه‎های سرقت شده، می‎توان کاربران را به سایت‎های جعلی که در ظاهر، کاملاً شبیه سایت‎های اصلی و واقعی هستند، هدایت کرد و اطلاعات شخصی آنان، مانند رمزهای عبور به سایت را به دست آورد. چون از این گواهینامه‎های سرقت شده برای نشان دادن اصالت سایت جعلی استفاده می‎شود، هیچ یک از ابزارها و امکانات امنیتی مرورگرها واکنشی از خود نشان نمی‎دهند و هشداری نیز به کاربر نمی‎دهند. البته برای چنین عملیاتی، سرورهای محلی DNS هم باید دستکاری شوند تا نام سایت‎های اصلی و واقعی به IP سایت‎های جعلی انتقال یابند.