A Google-nak adhatták ki magukat kiberbűnözők

Erről a keresőcég egyik mérnöke a Google hivatalos biztonsági blogján számolt be. A bejegyzésből kiderül, hogy a vállalat a napokban jött rá arra, hogy a windowsos Internet Explorer vagy Chrome böngészőket használó felhasználók esetében ki lehetett játszani például a Google, a Yahoo és más szájtok használata során alkalmazott titkosítást.

Nem riaszt a böngésző

A mostani eset azért kritikus fontosságú, mert azoknak a böngészőprogramokba épített tanúsítványoknak a működését játssza ki, amelyeknek eredetileg pont azt kellene biztosítaniuk, hogy jelezzék, ha mondjuk a Gmailre belépünk, akkor valóban azzal a szájttal kommunikálunk, és biztonságos – titkosított – az oldallal való kommunikáció.

Mint kiderült, kiberbűnözők egy indiai tanúsítványkibocsátó központ nevében tudtak kiállítani gyakorlatilag valódiként működő tanúsítványokat. Ezek birtokában úgy lehet beékelődni a Google, a Yahoo vagy más szájtok és felhasználóik titkosított kommunikációja közé, hogy nem fogják észlelni, hogy internetes forgalmuk lehallgatható, mivel a böngészőben a kapcsolat biztonságát jelző ikon zöld marad, mintha minden rendben lenne.

Amikor gyárilag hamis a tanúsítvány

Nemes Dániel, a biztonsági szoftverekkel foglalkozó Biztributor cég ügyvezetője szerint a most felfedett hiba ellen gyakorlatilag nem is tud védekezni egy felhasználó. Észleléséhez ugyanis minden biztonságos kapcsolat esetén rá kellett volna kattintani a böngésző címsora melletti lakat ikonra, és ott esetleg gyanút kelthetett volna az, hogy a titkosítás tanúsítványa miért egy indiai cégtől származik.

Ez azonban nem magától értetődő, mert a webes szolgáltatásokhoz nem kell feltétlenül azonos országból származó tanúsítványokat használni, egy magyar szolgáltatáshoz is lehet például amerikai kiállítású tanúsítványt alkalmazni. A mostani hibajelenség csak a Windowson futó Internet Explorer és Chrome böngészőket érinti, a Firefoxot nem, mert az nem a rendszer beépített tanúsítványtárolóját használja, hanem egy sajátot. Nem érintettek az Android, iOS, Mac OS X és Chrome OS rendszerek sem, mert ezek fejlesztői nem voltak kapcsolatban az indiai tanúsítványkibocsátóval, míg a Microsoft igen.

Egyszer már loptak hitelesítéseket

Nem ez az első eset, amikor kiderül, hogy a biztonság alapjául szolgáló hitelesítéseket manipulálják. Néhány éve két cég, a Diginotar és a Comodo rendszereibe tört be egy hacker, és képes volt tanúsítványokat kiállítani a nevükben.