Digitale sertifikater kapret til Iran

Kunne brukes til å avlytte Skype og tjenester fra Google, Yahoo og Microsoft.

Et selskap som utsteder SSL-sertifikater, Comodo, har innrømmet at et datainnbrudd hos en av deres klarerte partnere («Trusted Partner») førte til utstedelsen av ni falske sertifikater til en tjeneste i Irans hovedstad Teheran.

SSL-sertifikater brukes til å forsikre vanlige brukere at et nettsted er ekte. Et falskt SSL-sertifikat kan følgelig brukes til å opprette falske utgaver av nettsteder med følsomme tjenester.

De ni sertifikatene gjaldt Skype samt e-post og andre nettjenester fra Google, Microsoft, Yahoo og Mozilla. De kunne teoretisk vært brukt til å sende brukere til falske utgaver av disse tjenestene, og avlytte samtaler, lynmeldinger og e-post, samt skaffe seg ubemerket tilgang til brukernes kontoer og lagret informasjon. Det kaprede sertifikatet for Mozilla kunne vært misbrukt til å avverge installasjon av nettlesertillegg for å omgå offentlig nettsensur.

En politistat som Iran kunne følgelig brukt sertifikatene til å kartlegge, avlytte og overvåke all bruk av tjenester som ikke bare opposisjonelle, men også vanlige borgere, tyr til i sin daglige virke.

I et blogginnlegg og en teknisk redegjørelse forsikrer Comodo at innbruddet ble oppdaget etter få timer. Sertifikatene ble straks trukket tilbake og ugyldiggjort.

Bare et av sertifikatene, for domenet login.yahoo.com, ble observert «i det fri». Det ble sporet til en server i Iran, i likhet med opphavet til innbruddet. Ingen av disse to IP-adressene har vært tilgjengelige etter at sertifikatet ble trukket tilbake.

Comodos første reaksjon var å slå på stortromma om et bevisst angrep fra krefter knyttet til iranske myndigheter. Siden er dette dempet. I bloggen heter det:

– At to IP-adresser tildelt internettilbydere i Iran er involvert, gir en idé om hvor angrepet kan stamme fra. Men det kan også være at angriperen har vært laget et falskt spor.

Mistanken mot Iran forsterkes av presseoppslag om myndighetenes brukt av kybermetoder mot opposisjonelle. Et oppslag 18. mars i år i den britiske avisa The Telegraph gjør rede for blant annet hvordan Tor Project, et utbredt verktøy for å omgå overvåking, blokkeres i Iran.

På den andre siden viser en analyse av et angrep mot Twitter i desember 2009, der spor ledet til beskyldninger mot den såkalte «Iranian Cyber Army», at disse sporene var forfalsket. «Iranian Cyber Army» viser til tilhengere av regimet som bruker kyberrom mot opposisjonelle, og som skal ha opp mot 20 millioner medlemmer.

I et oppslag i Wall Street Journal heter det at Irans FN-delegasjon ikke har besvart en henstilling om kommentar.

Comodo beskriver selve innbruddet som et målrettet forsøk på å skaffe sertifikater som kunne brukes til avlytting og overvåking, ikke til finansiell gevinst. De mener dette tyder på at statlig nettsensur kan stå bak, heller enn vanlig organisert kriminalitet.

Lekkasjen av de ni sertifikatene er gjenstand for Microsoft Security Advisory (2524375). Informasjonen her svarer til den gitt av Comodo og til analysen publisert av F-Secure.

Microsoft sier de vil oppdatere Windows slik at de kompromitterte sertifikatene sikres oppføring på lokale svartelister, i tilfelle Comodos tilbakekalling ikke skulle virke overalt. Microsoft legger til at man kan, om man vil, installere oppdatering manuelt, men at det strengt tatt ikke er nødvendig.

Det skal ikke være registrert misbruk av de aktuelle sertifikatene.

Til toppen