سرقت گواهینامه های SSL | نفوذگر ایرانی مسئولیت حمله را پذیرفت

یک فرد ایرانی که خود را با نام مستعار Comodohacker معرفی می‎کند، مسئولیت حمله و نفوذ به شبکه شرکت DigiNotar و سرقت بیش از 500 گواهینامه SSL غیرمجاز را بر عهده گرفت. این فرد مسئولیت حمله مشابهی به شرکت Comodo را در ابتدای سال جاری نیز پذیرفته بود.

Comodohacker خود را یک دانشجوی 21 ساله ایرانی معرفی کرده است. گرچه برخی منابع اطلاعاتی، ملیت این شخص را ترکیه‎ای می‎دانند که با افرادی ایرانی در تماس و همکاری است. طبق اطلاعیه‎ای که از طرف این شخص منتشر شده، دلیل حمله به شرکت هلندی DigiNotar اعتراض به سیاست های دولت هلند و رفتار ارتش این کشور در جنگ بوسنی در دهه 1990 میلادی است که در آن بیش از 8 هزار مسلمان قتل عام شدند.

 در نفوذ به شبکه شرکت DigiNotar که یک شرکت صادر کننده گواهینامه‎های دیجیتالی SSL است، 531 گواهینامه برای سایت‎های مختلف اینترنتی به طور غیرمجاز صادر و سرقت شده‎اند.

از جمله گواهینامه‎هایی که صادر و سرقت شده، یک گواهینامه برای سایت RamzShekaneBozorg.com است. در نگاه اول، مشخصات این گواهینامه مثل بقیه گواهینامه‎ها است. ولی با کمی دقت می‎توان پیام فرد نفوذگر را در این گواهینامه خواند.

سایتی به نام “رمز شکن بزرگ”  (RamzShekaneBozorg.com) وجود ندارد و این عنوان، در حقیقت شروع پیام است. جملات بعدی پیام عبارتند از: «همه رمزها را می شکنم» و «سر تو را هم می شکنم».

با این حال، بسیاری از کارشناسان امنیتی معتقدند که استفاده گسترده و موفق از این گواهینامه های سرقت شده، تنها توسط یک یا چند نفوذگر امکان ندارد و یقیناً این فرد (یا افراد) دسترسی به امکانات و تجهیزات مخابراتی و ارتباطی وسیع دارند. این احتمال نیز داده می شود که این فرد (یا افراد) تنها ظاهر ماجرا هستند و دستهای واقعی در پشت صحنه این عملیات را مدیریت و اجرا می کنند.

توضیح درباره شرکت Diginotar و سرقت گواهینامه های دیجیتالی SSL :  شرکت DigiNotar یک شرکت Certificate Authority) CA) است و مجوز صدور گواهینامه‎های دیجیتالی Secure Socket Layer) SSL) را دارد. شرکت Diginotar یکی از 500 شرکت صادرکننده گواهینامه‎های دیجیتال SSL در دنیا است. اخیراً شبکه این شرکت مورد حمله و نفوذ قرار گرفت و صد‎ها گواهینامه (اصل ولی غیرمجاز) توسط نفوذگرها صادر و سرقت شد. این گواهینامه‎ها برای اثبات اصالت سایت‎های اینترنتی به کار می‎روند. با استفاده از گواهینامه‎های سرقت شده، می‎توان کاربران را به سایت‎های جعلی که در ظاهر، کاملاً شبیه سایت‎های اصلی و واقعی هستند، هدایت کرد و اطلاعات شخصی آنان، مانند رمزهای عبور به سایت را به دست آورد. چون از این گواهینامه‎های سرقت شده برای نشان دادن اصالت سایت جعلی استفاده می‎شود، هیچ یک از ابزارها و امکانات امنیتی مرورگرها واکنشی از خود نشان نمی‎دهند و هشداری نیز به کاربر نمی‎دهند. البته برای چنین عملیاتی، سرورهای محلی DNS هم باید دستکاری شوند تا نام سایت‎های اصلی و واقعی به IP سایت‎های جعلی انتقال یابند.