- Massiv iransk nettovervåkning

- Massiv iransk nettovervåkning

Trend Mikro mener de kan bevise at iranske brukere var mål for Diginotar-hacingen.

I en bloggpost av sikkerhetsforsker Feike Hacquebord i sikkerhetsselskapet Trend Micro er det lagt ut statistikk som bekrefter at iranske brukere var målet for hackingen av Diginotar, og at angrepet var utført i stor skala.

Bekreftelsen er basert på analyserte data fra Trend Micro Smart Protection Network som er innsamlet over tid. Systemet analyserer kontinuerlig data basert på feedback fra millioner av brukere rundt i verden.

Data som blir analysert inkluderer blant annet hvilke domener som blir aksessert, og når. Analysene brukes til raskt å kunne beskytte brukere mot nye former for angrep.

validation.diginotar.nl

Diginotar er en liten nederlandsk CA (Certificate Authority) og har hovedsaklig kunder i Nederland. Vanligvis vil Diginotars sikkerhetsdomene aksesseres av nederlandske brukere, og noen få brukere fra andre land. Det er ikke vanlig at domenet brukes av mange iranere.

Ler mer:

Gmail-angrep mot 300.000 iranere

I løpet av de siste ukene oppdaget Trend Micro et spesielt mønster for domenet validation.diginotar.nl. Domenet var mest aksessert av nederlandske og iranske brukere opp til 30. august.

Analysen av data viser en uventet og mistenkelig økning i trafikk fra Iran.

Mistenkelig

All internettrafikk i Iran rutes gjennom offentlige godkjente proxyservere - et perfekt opplegg for et "mellommann-angrep", ifølge Trend Micro. Selskapet mener de kan bevise at angrepet mot Diginotar var en del av en overvåkningskampanje av iranske internettleverandører.

Da blir fordelene med falske sikkerhetssertifikater tydelige. All kryptert trafikk til domenet som bruker det falske sertifikatet kan nå dekrypteres uten at brukerne har den minste anelse om hva som skjer.

Det er også rapportert at de falske sertifikatene inkluderer sertifikater for *.com og *.org toppdomener, noe som innebærer at all trafikk for hvilket nettsted som helst som hører hjemme i disse toppdomenene er utsatt, og kan trafikken kan dekrypteres og enkelt bli snappet opp.

Liten fare

På tross av faren med sikkerhetssertifikater på avveie, er sjansene for å bli utsatt for et angrep nå svært liten, ifølge Trend Micro. De fleste nettleserutviklere som Mozilla og Google har allerede oppdatert sine produkter til å ikke lenger stole på rotsertifikatet til Diginotar.

Ler også:

- Falske sertifikater gjør internett utrygt