Hacker Gmail med falsk sertifikat

Hacker Gmail med falsk sertifikat

Falsk sikkerhetssertifikat brukes til å spionere på epost-kontoer. Nå trekkes det tilbake.

Det var søndag Google uttalte på søndag at de har vært utsatt for et angrep mot Gmail. Angrepet skal i hovedsak ha vært rettet mot iranske kontoer.

Selskapet har tatt steg for å blokkere ytterligere forsøk på å snappe opp data.

Iransk hacker hacker iranere

- Personer som ble angrepet er hovedsakelig lokalisert i Iran, sier en talsmann for Google, men han gir ikke ytterligere detaljer om hvorvidt selskapet tror disse kontoene har blitt overtatt av angriperen.

Nettgiganten oppdaget at noen hadde fått tak i et SSL-sertifikat (Secure Socket Layer), som var gyldig for alle nettsteder i google.com-domenet. Sertifikatet brukes til å bekrefte identiteten til nettsteder og til å beskytte mot trusler som ”man-in-the-middle” angrep.

En iransk hacker har i ettertid påtatt seg skylden for angrepet, skriver Computerworld USA.

Lurte offisiell CA

Private virksomheter, kjent som sertifikat-autoriteter (CA-er) tjener penger på å utstede digitale sertifikater. Flere eksperter har påpekt at det finnes mange svakheter i måten sertifikatene utstedes på, og at disse svakhetene potensielt kan undergrave sikkerheten på nett.

I dette tilfellet var det en hollandsk CA, Diginotar, som leverte ut et SSL-sertifikat for google.com-domenet 10. juli, uten Googles kjennskap. Serfitikatet var bare aktivt i omtrent èn dag, fra søndag til mandag denne uken. Diginotar har trukket tilbake sertifikatet.

Ved hjelp av det falske sertifikatet har angriperne muligheten til å snappe opp påloggingsdetaljene til Gmail-kontoer uten at det dukker opp noen advarsel i nettleseren.

Nettleseren vil som regel advare mot falske sertifikater, men unntaket er når sertifikatet som brukes er utstedt av en offisiell CA.

Matet DNS med falske data

For å utføre angrepet ville angriper være nødt til å mate falske data til hurtigbufferen til en DNS. DNS brukes til å slå opp og oversette IP-adresser. Mange virksomheter drifter sine egne DNS-servere som lagrer informasjonen i en hurtigbuffer for å øke oppslagshastigheten. Informasjonen i hurtigbufferen oppdateres regelmessig.

Gjennom å mate falske data til hurtigbufferen kan en angriper la en falsk IP-adresse identifisere seg som google.com. Kombiner dette med et falskt sikkerhetssertifikat, så blir nettleseren lurt trill rundt og man aner ingenting om at man er i ferd med å bli angrepet.

Google bruker en annen CA enn Diginotar for å utstede sertifikater til sine domener, og som et ekstra grep legger de også inn informasjon om CA-en i sin egen nettleser, Chrome. Det var slik det falske sertifikatet ble oppdaget, på tross av at det teknisk sett var ekte. Denne tilleggsinformasjonen i Chrome er ikke nyttig for å identifisere andre selskapers nettdomener, da Google ikke har informasjon hvilken CA som utsteder sertifikater for disse.

Oppdaterer nettlesere

Google sa i en bloggpost søndag at de har konfigurert Chrome til å tilbakekalle SSL-sertifikater fra Diginotar mens de undersøker hendelsen.

Mozilla, organisasjonen bak den populære nettleseren Firefox, har også skrevet i en bloggpost at de planlegger å slippe nye versjoner av Firefox, epost-klienten Thunderbird og applikasjonssuiten Seamonkey hvor Diginotar er fjernet fra listen over offisielle CA-er.

Microsoft sa på mandag at de også vil fjerne Diginotar fra sin nettleser Internet Explorer.