احتمالا” شما هم در رسانه ها خبر جعل گواهینامه های دیجیتال توسط هکرهای ایرانی را خوانده اید. با هم نگاهی به ماجرا می اندازیم.
در روز ۱۵ مارس ۲۰۱۱ مصادف با ۲۴ اسفند ۱۳۸۹ یک گروه هکری ایرانی با نفوذ به سرورهای نمایندگی اروپای شرکت امریکایی Comodo که در زمینه امنیت وب فعالیت دارد اقدام به صدور گواهینامه های جعلی برای سایتهای مختلفی کردند.
اما این گواهینامه ها از چه سایتهایی بوده است؟
بر طبق اعلام شرکت کومودو کلا” ۹ گواهینامه دیجیتال جعلی برای ۷ سایت صادر شده بود که طبق اعلام این شرکت به سرعت باطل یا revoked شده اند.
لیست سایتها به قرار زیر است:
-یک گواهینامه جعلی برای ساب دومین افزونه ها شرکت موزیلا (addons.mozilla.org)
-سه گواهینامه جعلی برای یاهو (login.yahoo.com)
-یک گواهینامه جعلی برای لایو میکروسافت (login.live.com)
-یک گواهینامه جعلی برای سرویس تلفن اینترنتی اسکایپ (login.skype.com)
-یک گواهینامه جعلی برای (Global Trustee)
-یک گواهینامه جعلی برای گوگل (www.google.com)
-یک گواهینامه جعلی برای جی میل (mail.google.com)
هکرها اقدام به ساخت نام کاربری اعطاکننده گواهینامه با نام UTN-USERFirst-Hardware کرده بودند و با آن این ۹ گواهینامه جعلی را به خودشان اعطا کرده بودند!
ما گواهینامه های جعلی مذکور را برای دانلود قرار می دهیم اگرچه اکنون همگی آنها باطل شده اند.
اما این گواهینامه ها به چه دردی می خورند؟
شما هم قطعا” می دانید که در صفحاتی که نام کاربری و رمز عبور وارد می کنید حالت ایمن وب یا همان https برقرار است. در واقع با استفاده از الگوریتم نهفته در این گواهینامه ها داده ها بر روی سیستم شما رمز میشود و ارسال میگردد تا بین شما و مقصد کسی نتواند محتوای آن را ببیند. از آن سو هم سرور برای شما با همان الگوریتم اقدام به ارسال میکند و روی سیستم شما باز میشود. به این نحو عملا” کسی بین شما و سرور مقصد نمی تواند جاسوسی کند.
این گواهینامه ها فقط با همان سایتی که برای آن صادر شده اند کار میکنند یعنی اگر قرار باشد این گواهینامه جعلی برای ربودن نام کاربری و رمز کاربران استفاده شود باید حتما” به طریقی سایت مقصد نیز جعل شود. مثلا” با ربودن و تغییر DNS اقدام به ریدایرکت کردن کاربران به یک صفحه غیر واقعی شود.
در ضمن از ۹ گواهینامه جعلی صادره فقط یکی برای مدتی کوتاهی اکتیو شده بوده است و مابقی به صورت فعال بر روی وب مشاهده نشده است. با این حال احتمال به کارگیری آن برای رد زدن نام کاربری و رمزهای کاربران ایرانی دور از ذهن نیست.
این حادثه اگرچه اقدامی ضد امنیتی محسوب میشود اما فاجعه ای محسوب نمی شود. با این حال بهتر است:
1-مرورگر خود را به روزسانی نمایید.
2-رمزهای ایمیل خود را تغییر دهید.
با توجه به اینکه این سرویسها عمدتا” سرویسهایی غیر مالی محسوب می شوند هدف مسلما” ربودن داده ها بوده است. شرکت کومودو آی پی اصلی هکر را به این شرح اعلام کرده است:
-
حافظه SSD وسترن دیجیتال مدل BLUE WDS500G1B0A ظرفیت ۵۰۰ گیگابایت
۱,۴۸۰,۰۰۰تومان خرید محصول -
شارژر دیواری راسین مدل AR830
۱۴۲,۸۰۰تومان خرید محصول -
محفظه نگهداری کرم کد A-5 بسته ۴ عددی
۹,۵۰۰تومان خرید محصول -
فلش مموری سن دیسک مدل Ultra Dual Drive M3.0 ظرفیت ۶۴ گیگابایت
۲۱۹,۵۰۰تومان خرید محصول -
دوربین دیجیتال نیکون مدل 1V2
۸,۹۰۰,۰۰۰تومان خرید محصول -
هدست مخصوص بازی ریزر مدل BLACKSHARK V2 X
۵,۷۰۰,۰۰۰تومان خرید محصول -
کنسول بازی قابل حمل مدل mini26
۳۸,۵۰۰تومان خرید محصول -
ساعت هوشمند ریلمی مدل s pro RMA186
۴,۲۰۰,۰۰۰تومان خرید محصول
IP Address: 212.95.136.18
City: Tehran
State or Region: Tehran
Country: Iran, Islamic Republic of
این آی پی به شرکت پیشگامان توسعه ارتباطات تعلق دارد. این کار در واقع حالت پیشرفته SSL Forgery محسوب میشود.
مطالب بیشتر در این مورد:
روایت مهاجم ناکامی که میخواست آدرس ایمیل بدزدد
نگاهی عمیقتر به جعل گواهینامه دیجیتال
قصه جالب هکر ۲۱ ساله ایرانی
منبع: وب شهر