Читать «Цифровой журнал «Компьютерра» № 85» онлайн - страница 4
Коллектив авторов
Подобное вполне возможно в странах, где фильтруется интернет. Государственные провайдеры «по звонку сверху» легко заблокируют нужные адреса. Есть и мотив: компетентные органы с помощью фальшивых сертификатов могут вторгаться в личную переписку интересующих их лиц. Иранские власти, понятное дело, опасаются, что на подчинённых им территориях разгорится очередной акт драмы «Арабская весна», поэтому всевозможные местные «несогласные» у них — у властей — вызывают самый пристальный интерес.
Поскольку атака шла с иранских IP, в СМИ моментально предположили, что всё произошедшее — результат действий иранских спецслужб. Однако вскоре некий субъект, выступивший под ником ComodoHacker (он же Джанам Фадайе Рабар — Janam Fadaye Rahbar), объявил, что это его рук дело, что он действовал в одиночку и что он один стоит тысячи хакеров.
По поводу нынешней атаки специалисты из компании F-Secure снова говорили, что, «вероятно, это правительство Ирана использует такие методы, чтобы мониторить деятельность местных диссидентов».
Но вот вчера на Pastebin.com появился новый манифест от старого знакомого ComodoHacker, который опять утверждает, что это сделал он. По его словам, у него есть доступ ещё к четырём «высокопрофильным» центрам сертификации, называть которые он не стал, а также к серверам компаний StartCom и GlobalSign, к которым он получил доступ «хитроумным способом».
С DigiNotar, однако, хитроумничать, похоже, и не пришлось. Из очередного заявления ComodoHacker (цитата: «И, кстати, спросите DigiNotar об этой комбинации логина/пароля: Username: PRODUCTION\Administrator (domain administrator of certificate network) Password: Pr0d@dm1n») следует, что в DigiNotar использовали пароль, который нетрудно подобрать простым перебором.
И вот эта «сверхнадёжная» комбинация, к слову, много о чём говорит. Специалисты F-Security немного покопались на сайте Diginotar.nl и обнаружили там результаты как минимум трёх случаев успешного взлома: два посторонних файла с приветами от «иранских хакеров» на английском языке и один — с «манифестом» на турецком. Сейчас эти страницы на сайте Diginotar.nl уже, естественно, недоступны. Проблема в том, что это следы взломов, которые осуществлялись не в 2011 году, а в 2009, а то и раньше.
Возникает вопрос: как давно и до какой степени можно было хозяйничать на сайте DigiNotar? Ответ дал аудит, проведённый Fox-IT. И ответ этот печален: на критической важности серверах компании обнаружен вредоносный софт, который в принципе ловит любой антивирус, да вот только антивируса там нигде не нашлось. Софт использовался преимущественно устаревший и не пропатченный. Разделение важнейших компонентов сети либо отсутствовало, либо было неисправным. Все CA-серверы находились в одном Windows-домене, так что к ним можно было подключиться, используя один и тот же (украденный) пароль. Более того, хотя физически CA-серверы находились в безопасном месте, по-видимому, к ним можно было подсоединиться с локальной сети менеджмента. В общем, есть разгуляться где на воле. Что Джанам Рабар (если это его настоящее имя) с удовольствием и сделал.