Η εταιρεία ασφαλείας Symantec αναγκάστηκε να απολύσει 3 εργαζόμενους της, μετά οι τεχνικοί της Google ανακάλυψαν ψεύτικα πιστοποιητικά SSL που είχαν εκδοθεί στο όνομα της εταιρείας και χρησιμοποιούνταν από απατεώνες.
Τα πιστοποιητικά SSL είναι μια τεχνολογία, μέσω της οποίας τα προγράμματα περιήγησης και οι πάροχοι υπηρεσιών Web μπορούν να δημιουργήσουν ασφαλείς συνδέσεις και εξουσιοδοτημένα κανάλια επικοινωνίας.
Χρησιμοποιούνται δισεκατομμύρια φορές κάθε μέρα και έχουν γίνει μια κοινή πρακτική για την εξασφάλιση των επικοινωνιών μεταξύ των χρηστών και τραπεζών, ηλεκτρονικών καταστημάτων, κοινωνικών δικτύων, καθώς και για οποιαδήποτε ιστοσελίδα θέλει να προστατεύσει τους χρήστες της και τα ιδιωτικά τους δεδομένα από hackers και απρόσκλητες κυβερνητικές υπηρεσίες.
Αρμόδιες για την έκδοση των πιστοποιητικών αυτών είναι οι αρχές έκδοσης πιστοποιητικών ή Certificate Authority (CA). Υπάρχουν πολλές CA σε όλο τον κόσμο, και όλες αναγνωρίζονται από αξιόπιστους κατασκευαστές. Χορηγούν δε τα πιστοποιητικά τους μόνο σε αξιόπιστους πελάτες.
Μία από αυτές είναι τις CA είναι και η Symantec, μια εταιρεία ασφάλειας στον κυβερνοχώρο γνωστή κυρίως από το antivirus Norton.
Αυτή την Παρασκευή 18 Σεπτεμβρίου, οι τεχνικοί της Google που εργάζονται στην Πιστοποιητικό Διαφάνειας (Certificate Transparency), μια υπηρεσία που ελέγχει για ψεύτικα πιστοποιητικά SSL που κυκλοφορούν στο internet, ανακάλυψε αρκετά πλαστά πιστοποιητικά SSL της Google.com που είχαν εκδόθηκαν από τη Symantec. Αυτά τα επικίνδυνα πιστοποιητικά παρατηρήθηκαν επίσης και από τους τεχνικούς της DigiCert.
Το χειρότερο βέβαια είναι ότι αυτά τα πιστοποιητικά εκδόθηκαν με ετικέτα “Extended Validation”, το οποίο σημαίνει ότι η Symantec είχε πραγματοποιήσει δήθεν επιπλέον ελέγχους. Αυτή η πληροφορία δεν έχει επιβεβαιωθεί επίσημα από την Google ή από τη Symantec στα δελτία τύπου που εξέδωσαν.
Η Google έχει περάσει ήδη στη μαύρη λίστα τα εν λόγω πιστοποιητικά. Από τη στιγμή που διέρρευσε η πληροφορία, η Google και η Symantec δεν πιστεύουν ότι θα μπορούσαν να χρησιμοποιηθούν σε πραγματικές επιθέσεις.
Αν οι hackers είχαν περισσότερο χρόνο, χρησιμοποιώντας αυτά τα ψεύτικα πιστοποιητικά SSL θα μπορούσαν να πραγματοποιήσουν επιθέσεις MITM (man-in-the-middle), για να υποκλέψουν ασφαλείς επικοινωνίες.
Να αναφέρουμε ότι κάτι τέτοιο είχε συμβεί το 2011, ότα η ολλανδική εταιρεία CA DigiNotar παραβιάστηκε και οι hackers κατάφεραν να εκδώσουν εκατοντάδες πλαστά πιστοποιητικά. Μερικά από αυτά τα πιστοποιητικά SSL (εκδόθηκαν επίσης στο όνομα της Google) χρησιμοποιήθηκαν από την ιρανική κυβέρνηση για την κατασκοπεία πολιτικών αντιφρονούντων.
