Gmail-angrep mot 300.000 iranere

Gmail-angrep mot 300.000 iranere

Noen har i sommer sniklest eposten til 300.000 iranere, ved hjelp av stjålne Diginotar-sertifikater.

Det er særlig tjenester som Tor, VPN og proxyservere som er kompromittert i sommerens enorme Diginotar-hack. Nesten 300.000 unike IP adresser fra Iran har blitt kompromittert med falske sertifikater fra Diginotar, ifølge en rapport fra sikkerhetsfirmaet Fox-IT.

De falske sertifikatene var utstedt 10. juli, og ble trukket tilbake 29. august.

- Rundt 300.000 unike ip adresser er identifisert, opplyser Fox-IT i en rapport.

Kan snappe opp påloggingskapsel

Listen med IP-adresser vil bli overgitt til Google slik at selskapet kan informere sine brukere om at epost-kontoen deres kan ha blitt utsatt for avlytting i denne perioden.

Rapporten sier at det også er fare for at påloggings-informasjonskapsler også kan ha blitt snappet opp i perioden det falske sertifikater var aktivt.

- Påloggingskapselen forblir gyldig i en lengre periode, sier Fox-IT til Computerworlds nyhetstjeneste .

Med denne informasjonskapselen kan en angriper logge seg direkte inn i e-posten til offeret, og vil i tillegg få tilgang til alle andre tjenester fra Google brukeren benytter.

Sikkerhetsselskapet anbefaler alle iranske brukere å i det minste logge av og på igjen, men at det beste er å bytte passord.

Les mer:

Hacker Gmail med falsk sertifikat

Få direkte brukere utsatt

En stikkprøve av de utsatte IP-adressene viser nesten bare proxy servere, Tor-noder eller VPN servere. Det var nesten ingen sluttbrukere, ifølge rapporten som analyserte OCSP (Online Certificate Status Protocol)-logger.

Nettlesere utfører en OCSP-sjekk i samme øyeblikk som de kobler seg til et SSL-beskyttet nettsted.

Tor er et distribuert anonymt nettverk som brukes til å unngå å bli sporet av nettsteder de besøker eller for å koble til tjenester som av forskjellige årsaker er blokkert av lokale internettleverandører.

Les mer:

- Falske sertifikater gjør internett utrygt

Frykter spionasje

Totalt 531 falske sertifikater ble utstedt for flere domener, inkludert google.com, CIA og Mossad.

Listen over domener som er utsatt, samt det faktum at 99 prosent av utsatte brukere er iranske antyder i følge Fox-IT at hackernes mål var å spionere på privat kommunikasjon i Iran.

Fox-IT opplyser også at sikkerhetsprosedyrene ved nederlandske Diginotar var mangelfulle, og at kritiske servere blant annet var infisert med skadevare som vanligvis vil bli oppdaget av antivirus-programvare.

Sikkerhetsselskapet legger til at adskillelse av kritiske komponenter hos Diginotar var ute av funksjon eller ikke på plass i det hele tatt.

Les mer:

Diginotar tar kvelden?

Les om: