Eredeti cikk: https://darknetdiaries.com/transcript/3/
Egy iráni fickó megnézi az e-mailjeit. Beírja a böngészőjébe a gmail.com címet, és megnyomja az Entert. Egy furcsa figyelmeztetés jelenik meg. Azt írja, hogy érvénytelen szervertanúsítvány. Nem tud belépni a Gmailbe. Csatlakozik egy VPN-hez, és újra megpróbálja. A VPN-en keresztül rendben van a kapcsolat. Úgy gondolja, hogy valami furcsa dolog történhetett. Feltesz egy kérdést a Google fórumán, hogy lehetséges-e egy man-in-the-middle támadás. Azt is mondja, hogy gyanítja, hogy az internetszolgáltatója vagy az iráni kormány valami gyanúsat csinál. A Google nem csak a fórumbejegyzésre reagált, hanem biztonsági figyelmeztetést tett közzé a világ számára, és egy vészhelyzeti javítást adott ki a Chrome böngészőjéhez. A Mozilla, a Microsoft és az Apple gyorsan követte hasonló biztonsági frissítésekkel. Valójában egy man-in-the-middle támadás történt a Gmail felhasználók ellen; egy olyan támadás, amely aláásta az összes böngésző biztonságát, egy olyan támadás, amely pusztító következményekkel járt.
JACK (INTRO): Ez a Darknet Diaries, igaz történetek az internet sötét oldaláról. Jack Rhysider vagyok.
JACK: A HTTPS, az SSL és a TLS mind olyan technológiák, amelyek biztosítják a világhálót. Mindegyik a tanúsítványokra támaszkodik, amelyek egyfajta azonosító kártyát jelentenek a weboldalak számára. A tanúsítványokat kiállító vállalatokat tanúsítványkiadó hatóságoknak vagy CA-knak nevezik. A hitelesítésszolgáltatók és a tanúsítványok fogalma annyira bonyolult, hogy majd valaki más elmagyarázza.
GERVASE: A nevem Gervase Markham, és az elmúlt körülbelül tizenkét évben részt vettem a Mozilla Certificate Authority Root programjában. A tanúsító hatóság alapvetően egy olyan személy, aki ellenőrzi a személyazonosságot, és akiben megbízunk, hogy ellenőrizze a személyazonosságot. Az ellenőrzés szintje a tanúsítvány típusától függ. Lehet, hogy csak azt ellenőrzik, hogy az a személy, aki azt állítja, hogy a foo.com domain tulajdonosa, valóban a foo.com domain tulajdonosa. Azt is mondhatják, hogy egyébként ez a Foo Corporation of 116 Acacia Avenue, Birmingham, UK, és ez a telefonszámuk, ez a vállalati hivatkozási számuk és hasonlók. Lehet, hogy mindezeket a dolgokat ellenőrzi, de bizonyos szintű információt ellenőriz. A hitelesítésszolgáltató elsődleges célja az, hogy amikor beírja a foo.com címet a böngészőjébe, és a kérés elindul az interneten keresztül, amelyet a hálózat különböző részeit ellenőrző ellenséges vagy rosszindulatú emberek bármelyike benépesíthet, a visszakapott adatok a) valóban a foo.com-tól származnak, és b) nem manipulálták őket, vagy nem tekinthetők meg útközben. A tanúsítványrendszer alapvetően a web biztonságos kapcsolódási képességének alapja.
JACK: Az olyan webböngészők, mint a Firefox, tartalmazzák a megbízható hitelesítésszolgáltatók belső listáját, és tartalmazzák az ellenőrzéshez használt gyökértanúsítványok listáját. Amikor meglátogat egy webhelyet, az egy tanúsítványt mutat be, amely azonosítja a webhely tartományát. A tanúsítványban az is szerepel, hogy melyik hitelesítésszolgáltató ellenőrizte és igazolta ezt az információt. A böngésző ezután ellenőrzi, hogy a hitelesítésszolgáltató megbízható-e. A böngésző tartalmazza az összes megbízható hitelesítésszolgáltató és gyökértanúsítvány listáját. A Firefox például rendelkezik…
GERVASE: 64 szervezet és 159 tanúsítvány.
JACK: A megbízható szervezetek ezen listáját gyökértárolónak nevezzük. Amikor egy vállalat úgy dönt, hogy tanúsítványkiadó hatósággá akar válni, együtt kell működnie a böngészőkkel, hogy felvegyék a gyökértárba. Ha nem kerülnek hozzá, a böngészők nem fognak megbízni ezekben a webhelyekben.
GERVASE: Négy nagy gyökérraktár van. Van mi, van a Microsoft, van az Apple és van a Google. A hitelesítésszolgáltatók felvételére vonatkozó kritériumaink között szerepelnek majd bizonyos ellenőrzések, amelyek azt próbálják bizonyítani, hogy a hitelesítésszolgáltató a vonatkozó biztonsági irányelveknek megfelelően jár el. Az auditorok bejönnek és ellenőrzik ezt, és ezeket az auditokat sok különböző gyökérprogramnak tudják majd bemutatni.
JACK: Gervase és csapata felelős annak eldöntéséért, hogy mely hitelesítésszolgáltatók megbízhatóak és melyek nem. Ez egy rendkívül fontos feladat. Ő olyan, mint az internet biztonsági őre, aki vigyáz mindenkire, aki a Firefoxot használja, és gondoskodik arról, hogy a megbízható listán szereplő szervezetek biztonságosak legyenek a világ számára. Gondolj bele, ha a Firefoxot használod, akkor megbízol abban, hogy ez az ember, Gervase Markham tudja, mely szervezetek megbízhatóak.
JACK: Gervase úgy véli, hogy az ilyen jellegű döntéshozatalt a nyilvánosság előtt is meg kellene nyitni, hogy láthassák a döntéshozatali folyamatot, és akár bele is szólhassanak a döntés meghozatalába. Ezt érti azon, hogy a gyökérprogramja nyílt és átlátható, mert ahogyan azt el lehet képzelni, nehéz feladat eldönteni, hogy mely hitelesítésszolgáltatók megbízhatóak.
GERVASE: A bizalom egy szerves dolog, igaz. A bizalom nem olyasvalami, ami egy jelölőnégyzet végére érve jön létre. Ha olvasunk egy újságcikket, amelyben például az áll, hogy a kazahsztáni kormány azt fontolgatja, hogy minden állampolgárát manipulálja, és aztán kapunk egy kérelmet a kazahsztáni kormánytól, hogy a böngészőnkben használhassuk a gyökértanúsítványukat, még ha minden papírmunka meg is van, akkor is vonakodhatunk attól, hogy a gyökértanúsítványt a böngészőnkhöz adjuk, mert külső információkkal rendelkezünk arról, hogy a kormány mire akarja használni a tanúsítványt. Felmerül a kérelmező szervezet hírnevének kérdése is. Ez nem egy egyszerű ellenőrző lista, de megpróbálunk olyan kritériumokat felállítani, amelyek legalábbis homályosan objektívek, hogy a hitelesítésszolgáltatók tudják, mit kell tenniük ahhoz, hogy felvegyék őket a listára.
JACK: De van néhány probléma ezzel az egész megközelítéssel a gyökértárolók és a hitelesítésszolgáltatók használatával kapcsolatban. A biztonsági kutatók még mindig próbálnak jobb megoldásokat találni erre a problémára. Az egyik probléma…
GERVASE: A tanúsítványrendszerben a leggyengébb láncszem problémája volt. Vagyis, ha 64 különböző szervezetben bízol, és az egyiknek a biztonsága gyenge, akkor gond van. Nem számít, hogy az adott webhely a másik 63 közül az egyiket használja-e, mert a támadó szerezhet egy tanúsítványt a gyengébbtől, és utána megszemélyesítheti magát.
JACK: Vagyis, ha az egyik 64 szervezetet feltörik, az tönkreteszi az összes többi hitelesítésszolgáltató bizalmát. Alapvetően a hacker ekkor kerülne fel a megbízható tanúsítványok listájára. A hitelesítésszolgáltatók biztonságának csúcsminőségűnek és áthatolhatatlannak kell lennie. A Comodo a világ egyik legnagyobb hitelesítésszolgáltatója. Világszerte több millió weboldal számára állítanak ki tanúsítványokat, és 2011 elején feltörték őket. [A hacker kilenc hamis tanúsítványt állított ki, de a Comodo ezt azonnal észlelte, és visszavonta a tanúsítványokat. Néhány nappal később a Comodo kijavította a problémákat, és nyilvánosan bejelentette, hogy betörés történt, de néhány nappal ezután egy második betörés történt. Ezúttal azonban a hacker nem járt sikerrel. Minden próbálkozás kudarcot vallott. [A hacker be tudott jutni a hálózatba, de ennél többet nem tudott tenni. Nem tudtak tanúsítványokat kiállítani, vagy bármi jelentőset tenni.
Aztán egy furcsa poszt jelenik meg a Pastebinon. A Pastebin egy olyan weboldal, ahol bárki névtelenül közzétehet egy üzenetet. Ezt az üzenetet egy Comodo Hacker nevű személy írta, és így szól: „Hello. Ezt írom az egész világnak, hogy többet tudjatok rólunk, de először szeretnék néhány pontot adni, hogy biztosak lehessetek benne, hogy én vagyok a hacker. Meghekkeltem a Comodo-t az azonnali SSL-ből. A Comodo felhasználónevük/jelszavuk GT admin és globális bizalom volt. Én nem vagyok egy csoport. Egyetlen hacker vagyok 1000 hacker tapasztalatával.” Idézet vége. Az üzenet tovább magyarázza, hogyan jutott be és mit csinált. A legvégén perzsául írja: „Feláldozom a lelkem a vezetőmért”. Öt nappal később a Comodo bejelenti a második behatolást, de megemlíti, hogy a hacker nem tudott mit tenni, és kijavították a lyukakat a hálózatukon. Összességében a Comodo elég jól kezelte ezt az ügyet. Gyorsan észlelték és kijavították a problémát, és értesítették a nyilvánosságot. A Comodo nem az egyetlen hitelesítésszolgáltató. Egy másik népszerű a DigiNotar. Ez egy holland székhelyű vállalat, és 1998-ban kezdték meg közjegyzői hitelesítésekkel kapcsolatos tevékenységüket Hollandiában. Végül tekintélyes hitelesítésszolgáltatóvá váltak. Valójában a holland kormány a DigiNotart használta hitelesítésszolgáltatóként számos weboldalához. 2011 elején a VASCO majdnem 13 millió dollárért megvásárolta a DigiNotart.
JOSEPHINE: A DigiNotar szerintem egy olyan eset, amely valóban sokat fektetett a biztonságba, ahogyan azt egy tanúsítványkiadó hatóságnak tennie is kell.
Ő Josephine Wolff.
JOSEPHINE: A Rochester Institute of Technology Közpolitikai és Számítástechnikai Biztonsági Tanszékének adjunktusa vagyok.
JACK: Nemrégiben publikált egy cikket és egy palacsintát a DigiNotarral kapcsolatban.
JOSEPHINE: A hálózatot csak ezekkel a szegmensekkel állították fel, a nyilvános, a külső hálóval, a DNZ belsővel, majd a több réteggel azon túl, de fizikai ellenőrzéseket is tartottak. Ha egyszer bejutottál a hálózat legbiztonságosabb részébe, ha aztán ténylegesen hozzá akartál férni a tanúsítványok kiállítására használt gyártási szerverekhez, akkor el kellett jutnod ezekhez a számítógépekhez, amelyeket egy olyan szobában tároltak, ami egy James Bond-filmből való. Kétféle ajtó van, van egy kézfelismerő eszköz és egy PIN-kód, és be kell helyeznie egy elektronikus kulcskártyát, hogy ténylegesen megkezdődhessen a tanúsítványkiadási folyamat. Több biztonsági szintet is át kell lépni ahhoz, hogy tanúsítványt lehessen kiállítani.
JACK: A DigiNotar tudta, hogy a biztonság létfontosságú a vállalat hírneve szempontjából, ezért nagy összegeket fektetett be saját biztonságába. Néha szeretek úgy gondolni egy hálózat biztosítására, mint egy tízezer ajtóval és ablakkal rendelkező kastély biztosítására. Még ha időt is szánunk arra, hogy minden ajtót és ablakot ellenőrizzünk, hogy biztosan zárva van-e, előfordulhat, hogy egyet kihagytunk, vagy nem is tudunk róla, és idővel biztosan elkövetünk egy hibát, és nyitva hagyunk egy ajtót. Talán mert lusta voltál vagy szórakozott, de az emberek hibáznak. 2011 nyarán a DigiNotar is elkövetett egy ilyen hibát, és egy hacker behatolt a hálózatukba.
A betörés azzal kezdődik, hogy az elkövető ténylegesen csatlakozik a DigiNotar által üzemeltetett, nyilvános webszerverekhez. Ez egy kicsit elavult. Van néhány javítás, amit nem frissítettek a tartalomkezelő szoftverben. Az elkövető csatlakozik a webszerverekhez, kihasználja az elavult sebezhetőségeket, és ezeket a sebezhetőségeket arra használja, hogy a tűzfalszabályok hihetetlenül kiterjedt rendszerén keresztül bejusson a hálózatuk elvileg legbiztonságosabb silójába.
JACK: A hacker végül eljutott a tanúsítványokat kiállító szerverre, de a DigiNotar biztonsági ellenőrzést vezetett be, amely szerint a tanúsítvány kiállításához egy fizikai kulcskártyának kellett a számítógépben lennie.
JOSEPHINE: Kiderült, hogy van egy kulcskártya, amit állandóan bent hagynak. Nem csak lustaságból, hanem azért, mert a DigiNotar képes akar lenni automatikusan létrehozni úgynevezett tanúsítvány-visszavonási listákat. Minden alkalommal, amikor egy tanúsítvány megbízhatatlanná válik, vagy elavul, vagy valamilyen okból visszavonásra kerül, a DigiNotar automatikus listákat akar kiállítani ezekről a tanúsítványokról, hogy az összes böngésző, amely megbízik a DigiNotar tanúsítványaiban, ne bízzon többé az adott tanúsítványokban. Ahhoz, hogy ezeket a listákat ki lehessen állítani, be kell helyezni az egyik ilyen kártyát a teremben lévő biztonságos szerverek egyikébe, és mivel a kártyát csak úgy otthagyják, kiderül, hogy a biztonsági rétegek, amelyek túlzásnak tűnnek, megkerülhetők. A behatoló képes egy csomó hamis tanúsítványt kiállítani a legkülönbözőbb tartományok nevében. A legnagyobb, ami felbukkan, a Google.com tanúsítványok, de azt hiszem, a cia.gov tanúsítványokat is kiállították, és még sok-sok másikat.
JACK: Ezekkel a tanúsítványokkal a hacker mostantól Google-vé válhat. Be tudják csapni a böngészőt, hogy azt higgye, ők a google.com. Ez azért van, mert a DigiNotar volt az egyik megbízható hitelesítésszolgáltató a böngészőben. Ez a betörés 2011. július 10-én történt, és végül 531 hamis tanúsítványt állított ki. Kilenc nappal később a DigiNotar észlelte a betörést, de nem jelentette be nyilvánosan. Több mint egy hónappal később jelent meg a Google fórumbejegyzése arról az iráni emberről, aki nem tudott hozzáférni a gmail.com-hoz.
JOSEPHINE: Az iráni embereket, akik megpróbáltak csatlakozni a Gmail fiókjukhoz, átirányították, ami egy rossz weboldalra irányította őket, ami valószínűleg pontosan úgy néz ki, mint az igazi Gmail. Mivel ezek a DigiNotar által kiállított hamis tanúsítványokat kapták, azok, akik ezt a hamis Gmail vagy Google weboldalt létrehozták, képesek aláírni azt, és úgy néz ki, mintha valóban a Google oldala lenne. De mivel rendelkeznek ezzel a hamisított tanúsítvánnyal, képesek erre, az emberek a Google-oldalnak hitt oldalakra mennek, és megadják a hitelesítő adataikat. Gyanítjuk, hogy ezeket a hitelesítő adatokat arra használják, hogy különböző módon kémkedjenek a Google-fiókjaik után.
JACK: A hacker ezután fogta ezeket a tanúsítványokat, és egy man-in-the-middle támadást hajtott végre. Ez az, amikor a hacker elfogja a forgalmat, amelynek máshová kellene mennie. A hamis tanúsítványok csak a fele annak, ami egy man-in-the-middle támadáshoz szükséges. A hackernek át kell irányítania az embereket a saját szerverére a Google valódi szerverei helyett. Nem tudjuk pontosan, hogyan csinálta ezt, de a legjobb elmélet, amelyet a legtöbb tény támaszt alá, az, hogy DNS-mérgezéses támadást hajtott végre. A DNS-kiszolgáló lefordítja a google.com-hoz hasonló tartományt egy IP-címre, hogy a routerek megtalálják, hova kell menniük. Átverte az iráni DNS-kiszolgálókat, hogy aki a google.com címet keresi, azt az ő IP-címére irányítsák át.
JOSEPHINE: Nincs egyértelmű bizonyíték arra, hogy így történt az átirányítás. Vannak közvetett bizonyítékok, amelyekkel megpróbálhatja ezt az ügyet alátámasztani. Lehetséges, hogy van egy iráni internetszolgáltató, amely vagy bűnrészes, vagy kompromittálódott, és ezért átirányítja a forgalmat ezekre a csalárd oldalakra. Egy másik lehetőség, hogy egy nagyon magas szintű DNS-kiszolgálót kompromittáltak, és a hamis rekordokat továbbítja a többi DNS-kiszolgálónak, amelyek a hierarchiában erre támaszkodnak. A nyomozók a bizonyítékok alapján úgy érzik, hogy valószínűleg nem erről van szó, mert ha megnézik, hogy hány embert irányítanak át, és hogy mikor, akkor ez nagyon ritka. Azaz, nagy kiugrást látunk a hamis oldalra küldött emberek számában, majd az leáll, és újra kiugrik, ami arra enged következtetni, hogy valószínűleg nem nagymértékű mérgezésről van szó. Valószínűleg néhány helyi DNS-kiszolgálót elárasztanak olyan üzenetekkel, amelyek úgy néznek ki, mintha magas szintű, megbízható DNS-kiszolgálóktól érkeznének, de valójában a támadóktól származnak, akik azt mondják, hogy itt van a google.com helyes, frissített DNS-rekordja. Ez csak egy bizonyos ideig fog tartani, mert utána a DNS-kiszolgáló megkapja a helyes rekordot a magasabb szintű DNS-kiszolgálótól, így újra a megfelelő oldalra fogja küldeni az embereket. A támadónak vissza kell jönnie, és újra meg kell mérgeznie.
JACK: Iránból több mint 300 000 ember látogatta meg a gazember szervert. Úgy tűnt, hogy ez a támadás iráni civileket célzott meg. Ez a támadás egy ideig észrevétlen maradt volna, de a Google-nek volt egy okos módja a felderítésére.
JOSEPHINE: Mivel a Google által gyártott Chrome böngészőn belül csinálják ezt, és mivel a Google tulajdonában van a Chrome böngésző, amely ellenőrzi ezeket a tanúsítványokat, és a Google tulajdonában van a weboldal, amelyet imitálásra használnak, a böngésző észreveszi. Ez egy olyan tanúsítvány, amely egy megbízható tanúsító hatóságtól származik, igaz, a Chrome megbízik a DigiNotar által kiállított tanúsítványokban, de tudjuk, hogy ez nem a megfelelő tanúsítvány, mert tudjuk, hogy mik a Google tanúsítványaink. Ez nem tartozik közéjük.
JACK: Ezért volt a fickónak a Google fórumokon szervertanúsítvány hibája. Gervase a Firefoxnál volt a frontvonalban.
GERVASE: A Google arról értesített minket, hogy egy tévesen kiállított tanúsítványt észleltek a starter, google.com számára, amelyet aktív támadásokban használtak az iráni felhasználók ellen. Megkezdtük a vizsgálatot. Gyakorlatilag azonnali válaszadást vállaltam, így nagyon elfoglalt voltam. A DigiNotar esetében a hálózatukba alaposan behatoltak, és ez már hónapok óta így volt. A naplóikban nagy volt a káosz. Az infrastruktúrájuk egy káosz volt. Nem lehetett megmondani, hogy milyen mértékű volt a behatolás, és ezért nem lehetett egy adott root-ra vagy egy csoport root-ra, vagy egy köztesre vagy egy csoport köztesre korlátozni. A katasztrofális biztonsági hibák miatt lehetetlen volt a DigiNotar rendszerei és szervezetei iránti bizalom bármilyen formáját fenntartani.
JACK: Amikor a Mozilla úgy döntött, hogy a DigiNotar már nem megbízható, eltávolította őket a gyökértárból, de a felhasználóknak frissíteniük kellett a böngészőjüket, hogy megkapják a Firefox azon verzióját, amely nem bízik a DigiNotarban. Az összes többi root store is eltávolította a DigiNotart a megbízható listáról. Közel két hónappal a behatolás után, és jóval azután, hogy Irán egy masszív man-in-the-middle támadás célpontja lett, a DigiNotar végül nyilvánosan elismerte, hogy behatoltak hozzájuk.
JOSEPHINE: A holland kormány közbelép, és átveszi a DigiNotar irányítását, ami példa nélküli a magáncégek elleni jogsértések történetében. Amint ez megtörtént, a vállalat nagyrészt kikerült a képből. A vezetőségük már nem hoz döntéseket a nyomozók felvételéről és minden másról.
JACK: A holland kormány a DigiNotart használta elsődleges hitelesítésszolgáltatóként számos kormányzati webhely és alkalmazás esetében. Amikor a böngészők elkezdték eltávolítani a DigiNotart a megbízható gyökértárból, a holland kormány számos rendszerét tönkretette. Felkeresték a gyökértárolókat, és kérték, hogy a DigiNotart helyezzék vissza a gyökértárolóba. A böngészők visszavették a DigiNotart megbízható hitelesítésszolgáltatóként, de a hamisított tanúsítványok problémájának megoldása érdekében a gyökértárak blokkoltak minden olyan tanúsítványt, amelyet a DigiNotar 2011 júliusa után állított ki. Ez lehetővé tette a holland kormány számára, hogy folytassa a munkát, és új hitelesítésszolgáltatót találjon. Végül a holland kormány új hitelesítésszolgáltatóhoz fordult, és a jogsértést követő három hónapon belül a DigiNotar véglegesen leállt.
JACK: A DigiNotar felbérelt egy Fox-IT nevű biztonsági céget, hogy vizsgálja ki, mi történt. Számos problémát találtak a DigiNotar hálózatában. Megállapították, hogy a Windows tartományi rendszergazdai fióknak egyszerű jelszava volt, és könnyen meg lehetett erőszakolni. Ezután az összes tanúsítványt kiállító szerver egyetlen tartományban volt. Ez azt jelenti, hogy egyetlen adminisztrátori fiók mind a nyolc tanúsítványszerverükhöz hozzáférhetett. Számos rendszerben nem volt jelen vírusirtó, ami megakadályozhatta volna a támadások egy részét. Nem volt központi naplózás és a kritikus rendszerek elkülönítése. Mindezen hibák kombinációja az, ahogyan a hacker képes volt kijátszani az összes biztonsági ellenőrzést. A Fox-IT átnézte a bizonyítékokat is, hogy megpróbálja kideríteni, ki követte el ezt a támadást.
JOSEPHINE: Nem tudjuk, ki tette ezt. Senkit sem kaptak el, és senkit sem vontak felelősségre ezért a betörésért.
JACK: Igaz, nem tudtuk megállapítani, hogy ki tette ezt, de amikor a Fox IT vizsgálta a betörést, találtak néhány érdekes nyomot. Először is megnézték az összes IP-címet, amelyet a hacker a hálózaton használt. Egy kivételével minden IP-t vissza tudtak vezetni egy proxyhoz. Ez az IP Iránból csatlakozott a DigiNotar hálózatához, és nem proxyból származott. Csak néhány másodpercre csatlakozott, majd megszakadt a kapcsolat. Ezután egy új kapcsolat jelent meg egy proxyról. Ez lehetett a hacker hibája, aki aztán nagyon gyorsan korrigálta magát. Ez az IP korábban a DigiNotart is meglátogatta, ami lehet, hogy felderítésre szolgált. A Fox-IT azt is megállapította, hogy a hacker üzenetet hagyott a feltört szerveren. Részben ez állt benne, idézem: „Nem létezik olyan hardver vagy szoftver a világon, amely meg tudná állítani a súlyos támadásaimat, az agyamat, a képességeimet, az akaratomat vagy a szakértelmemet”. A végén egy perzsa nyelvű üzenettel: „Feláldozom a lelkemet a vezetőmért”. Egy új Pastebin üzenetet is látunk attól a személytől, aki azt állította, hogy feltörte a Comodo CA-t. Ez a Comodo hacker most magára vállalja a DigiNotar feltörését is, és ugyanezzel a perzsa nyelvű üzenettel írja alá Pastebinjét. Azt is írja, hogy huszonegy éves és egyedül dolgozik.
JOSEPHINE: A DigiNotar és a holland kormány természetesen nagyon belekeveredik ebbe, mivel ők az eszköz, amelyen keresztül mindez történik, de a valódi célpont az iráni állampolgárok ellen irányuló kémkedés volt.
JACK: De ki akarja elolvasni az iráni állampolgárok e-mailjeit? Az USA-nak konfliktusai voltak Iránnal, így gyanús lehet. Bruce Schneier, egy neves biztonsági szakértő szerint lehet, hogy az NSA munkája vagy az NSA kihasználása, de szerinte elsősorban egy kiszivárgott NSA dokumentum miatt, amely szerint az NSA-nak hozzáférése volt a DigiNotarhoz. Ez az elmélet nem túl erős és szinte semmilyen más bizonyítékkal nem rendelkezik, akkor ki más célozná meg az iráni köznépet? Maga az iráni kormány. Ahhoz, hogy megértsük, miért, vissza kell tárcsáznunk két évvel a hack előtt. 2009-ben elnökválasztás volt Iránban. Mamoud Ahmadinezsád 63 százalékos szavazati aránnyal nyerte meg a választást, de erős ellenzék volt ellene. Sok iráni úgy vélte, hogy a szavazatokat manipulálták, és a választást megbundázták. Azonnal tüntetések kezdődtek. Ez megosztottságot teremtett az iráni emberek között. Egyesek rendkívül bizalmatlanok lettek a kormánnyal szemben, míg mások rendkívül lojálisak lettek. A rendőrség elkezdte letartóztatni a tüntetőket, és amikor a tüntetők nem távoztak, paprikaspray-vel, gumibotokkal ütötték őket, és néha lőttek rájuk.
A választást követő három hónapon belül hetvenkét tüntető halt meg. A korrupció annyira súlyos volt, hogy a rendőrség arra kényszerítette a családokat, hogy írják alá a papírokat, amelyek szerint halott rokonaik szívrohamban haltak meg, nem pedig rendőri brutalitás következtében. Képzelheti, hogy ez csak még nagyobb indulatokat szított az iráni emberek körében. Ezt követően az iráni kormány évekig keményen dolgozott azon, hogy minden kormányzati ellenzéket felszámoljon. Ez egészen addig folytatódott, amíg ez a DigiNotar-támadás meg nem történt. Erős az elmélet, hogy ezt a hackert maga az iráni kormány, vagy valaki, aki megpróbálta segíteni az iráni kormányt. Valószínűleg átnézték az e-maileket, hogy megtalálják a disszidenseket és azokat, akik elégedetlenek az iráni elnökkel. Ha megtalálták őket, akkor az emberek letartóztatásához, megkínzásához vagy megöléséhez vezethetett. Az igazoló hatóságok és a böngészőfejlesztők komoly tanulságokat vontak le a DigiNotarból. A hitelesítésszolgáltatóknak szigorúbb ellenőrzéseken kell megfelelniük ahhoz, hogy felvehessék őket a gyökértárakba. A nyilvános kulcsok rögzítését egyre gyakrabban használják. A Google ezt tette a Chrome böngészőjével, hogy észlelje ezt a jogsértést. Rákényszerítették a Chrome-ot, hogy csak a Google hitelesítésszolgáltatójától kiállított tanúsítványokat fogadjon el, lényegében egy adott hitelesítésszolgáltatóhoz rögzítve a tanúsítványt.
A DigiNotar óta ezt több weboldal is megtette, de ennek is megvannak a maga hiányosságai. Képzelje el például, milyen problémákat okozna egy weboldalnak, ha a tanúsítványát egy olyan hitelesítésszolgáltatóhoz kötné, amely megszűnt, vagy képzelje el, ha egy hacker egy hamis hitelesítésszolgáltatóhoz kötné a tanúsítványát. A tanúsítvány kitapasztásának feloldása jelenleg bonyolult feladat. A DigiNotar óta a Firefox egy új funkcióval bővült, amely segít a hamis tanúsítványok blokkolásában. Itt van Gervase, hogy meséljen nekünk erről.
GERVASE: Van egy OneCRL nevű rendszerünk, ami, ha úgy tetszik, egy vészhelyzeti visszavonási rendszer. A Firefoxok huszonnégy óránként ellenőrzik a tanúsítványokat ezen a fekete listán. Ha szükség van egy egyedi tanúsítvány, vagy akár egy teljes tanúsítványfa vészhelyzeti visszavonására egy közbenső tanúsítvány alapján, akkor azt feltehetjük a OneCRL-be, és huszonnégy órán belül minden Firefox, amelyik rendelkezik ezzel a rendszerrel – és már jó ideje használjuk -, nem bízik többé ezekben a tanúsítványokban. Nem szükséges frissítést telepíteni ahhoz, hogy ne bízzunk meg valamiben.
JACK: Amikor egy hackelésre kerül sor, akkor az világméretű. Megváltoztatja a biztonságot. Bizonyos értelemben a hackerek olyanok, mint az internet immunrendszere. Megfertőznek minket, megbetegszünk, meggyógyulunk, és utána még erősebbek leszünk. Még ma, hat évvel később is, amikor egy céggel történik egy nagyobb betörés, valaki mindig emlékeztet minket a DigiNotar sorsára.
JACK: Köszönjük Josephine Wolffnak, hogy mesélt nekünk a DigiNotarról, és egy nagy, túlzó köszönet Gervase Markhamnek, hogy eljött a podcastba, mert körülbelül egy évvel azután, hogy ez az epizód eredetileg adásba került, Gervase elhunyt. Huszonkét évesen rosszindulatú nyálmirigyrákot diagnosztizáltak nála, és miután tizennyolc évig küzdött ellene, negyvenévesen elhunyt. Gervase jelentősen hozzájárult a Firefox és a Bugzilla eszköz biztosításához. Neki köszönhetjük, hogy biztonságban tart minket ebben a bizonytalan világban. Hiányozni fogsz nekünk, Gervase. A zenét Ian Alex Mac és Kevin MacLeod szolgáltatja.