سرقت گواهینامه‎های SSL برای سایت‌های مشهور

به دنبال سرقت تعدادی گواهینامه دیجیتال (SSL (SSL Digital Certificate  برای برخی سایت‎های مشهور جهان، تمامی تولیدکنندگان مرورگر، مرورگرهای خود را بروز کردند.

 روز سه شنبه 24 اسفند سال گذشته (1389) افراد نفوذگر با استفاده از رمزهای عبور معتبر به شبکه یکی از موسسات صادرکننده گواهینامه SSL دسترسی پیدا کرده و اقدام به صدور 9 گواهینامه غیر مجاز ولی معتبر برای سایت‎های مشهوری، نظیر Gmail، Yahoo، hotmail، Skype کردند.

موسسه صادرکننده گواهینامه‎ها (Comodo) در روز چهارشنبه سوم فروردین ماه سال جاری (1390) خبر سرقت گواهینامه‎ها را بطور عمومی اعلام کرد. در فاصله بین 24 اسفند تا سوم فروردین ماه، گواهینامه‎های به سرقت رفته باطل شدند و موضوع به اطلاع شرکت‎های مایکرو سافت، Google و Mozilla رسید تا هرچه سریعتر مرورگرهای خود را  بمنظورجلوگیری از سوءاستفاده از این گواهینامه‎ها بروز کنند.

شرکت Google روز پنجشنبه 26 اسفند 89 مرورگر Chrome خود را بروز کرد. شرکت مایکرو سافت و Mozilla نیز در روزهای دوم و سوم  فروردین ماه 90 مرورگرهای IE و Firefox را بروز کردند. در نسخه‎های بروز شده این مرورگرها، گواهینامه‎های به سرقت رفته شده در فرمت سیاه مرورگرها قرار گرفته تا در صورتیکه کاربر به سایت جعلی که توسط هریک از این گواهینامه‎ها به عنوان سایت واقعی معرفی می‎شوند، مراجعه کرد، هشدارهای لازم داده شود.

 افرادی که این گواهینامه را در اختیار داشته باشند می‎توانند با ساختن سایت‎های جعلی مشابه سایت‎های واقعی(نظیر Gmail و Yahoo) و استفاده از گواهینامه، کاربران را فریب دهند و بدون هیچگونه هشدار و اعلام خطر از سوی مرورگر، کاربران به تصور اینکه در سایت‎های واقعی هستند، اقدام به وارد کردن رمز های عبور خود کنند. دراینصورت رمزهای کاربران در اختیار افراد خلافکار قرار خواهد گرفت. البته برای چنین عملیاتی، به تغییر آدرس اینترنتی (DNS) این سایت‎های مشهور نیاز است تا کاربران به سوی سایت‎های جعلی (به جای سایت‎های واقعی) هدایت شوند. انجام چنین تغییراتی معمولاً فقط در اختیار شرکت‎های مخابرات و گردانندگان اصلی اینترنت در هر منطقه و کشور است.

 شرکت Google با انتشار نسخه Chrome10 و شرکت Mozilla با انتشار نسخه‎های جدیدی برای Firefox 3.5 و Firefox 3.6 اقدام به مقابله با سرقت گواهینامه‎ها کردند. نسخه جدید Firefox 4 قبل از انتشار عمومی اصلاح شده بود. شرکت مایکرو سافت نیز اقدام به ارائه اصلاحیه فوق‎العاده و خارج از برنامه ماهانه خود کرد. این اصلاحیه برای کاربرانی که از سرویس‎های بروزرسانی مایکروسافت استفاده می‎کنند، بطور خودکار نصب شده است.

اطلاعات بیشتر درباره این اصلاحیه در هشدار امنیتی شماره 2524375 ارائه شده است. دسترسی به این هشدار از طریق پیوند زیر امکان پذیر است.

www.microsoft.com/technet/security/advisory/2524375.mspx

لازم به توضیح است که در مرورگرهای IE7، Firefox3، Opera8، Chrome امکانی با عنوان Online Certificate Status protocol وجود دارد که به صورت زنده در هنگام مراجعه به یک سایت، از معتبر بودن گواهینامه SSL آن سایت اطمینان حاصل می‎کند. اینکار با مراجعه به یک سرویس دهنده خاص (Certificate Authority-CA) انجام می‎گیرد. پس به دلیل ابطال گواهینامه‎های به سرقت رفته، مرورگرها باید هشدارهای لازم را  هنگام مواجهه با این گواهینامه‎ها نشان دهند. ولی در صورتیکه، به هر دلیلی مانند قطع ارتباط شبکه، امکان دسترسی مرورگر به سرویس دهنده CA فراهم نشوند، پیش فرض مرورگر، معتبر و اصل بودن گواهینامه است و مرورگر بدون نشان دادن هشداری، امکان دسترسی کاربر به سایت دارای گواهینامه جعلی را خواهد داد.

به دلیل اینکه موضوع همچنان در دست بررسی و تحقیق توسط مقامات امنیتی است، تا روز سوم فروردین ماه جزئیات و توضیحات بیشتر درباره دلایل این سرقت، محل نفوذ به شبکه موسسه صادر کننده گواهینامه، صاحب اصلی رمزهای عبور مورد استفاده توسط نفوذگران و … منتشر نشده بود.

 طی چند روز گذشته، یک شخص ناشناس ایرانی که خود را Ich Sun معرفی کرده است، با ارائه مدارک و اطلاعات دقیق، نشان داده که وی مسئول تمام این عملیات بوده است. در یک مصاحبه که از طریق نامه‎های الکترونیکی با وی صورت گرفت، این شخص مدعی شده است که به چند موسسه مشابه دیگر که گواهینامه‎های الکترونیکی صادر می‎کنند، نفوذ کرده است. این فرد اطلاعات بیشتری ارائه نکرده است.