DigiNotar, som i juli ble utsatt for et innbrudd som førte til utstedelse av over 500 forfalskede sikkerhetssertifikater til kjente og mindre kjente nettsteder, er egentlig en ganske liten aktør som først og fremst har nederlandske kunder.
Sikkerhetsselskapet Trend Micro samler inn og analyserer data fra selskapets kunder gjennom Trend Micro Smart Protection Network. Dette inkluderer hvilke nettsteder eller domener som besøkes på hvilket tidspunkt. Selskapet bruker i utgangspunktet dataene til å tilby beskyttelse mot nye angrepsvektorer på svært kort tid.
Noe av trafikken som registreres, oppstår når nettlesere sjekker autentisiteten til nettstedenes sikkerhetssertifikater.
I et blogginnlegg skriver Feike Hacquebord, en senior trusselforsker i Trend Micro, at trafikken mellom iranske nettleserbrukere og serveren validation.diginotar.nl var uvanlig høy i ukene fram mot den 30. august. På denne datoen forsvant det meste av trafikken fra Iran, og den 2. september var nesten all trafikken fra nederlandske brukere.
Datoene stemmer godt overens med tidspunktet da de første tilfellene av de forfalskede sertifikatene ble offentlig kjent. DigiNotar skal derimot ha visst om innbruddet i flere uker før dette.
– Statistikken fra Trend Micro Smart Protection Network viser klart at iranske internettbrukere ble utsatt for et stort man-in-the-middle-angrep, hvor SSL-kryptert tafikk kan bli dekryptert av en tredjepart, skriver Hacquebord. Internettbrukere knyttet til mer enn 40 ulike nettleverandører og universiteter i Iran skal ha blitt møtt av forfalskede SSL-sertifikater utstedt av DigiNotar.
Men ifølge Hacquebord er det ikke bare nettsteder som har blitt berørt. Også iranske brukere av amerikanskutviklet antisensur-programvare – Trend Micro nevner ikke hvilken – skal ha blitt utsatt for tilsvarende man-in-the-middle-angrep, noe som kan ha åpnet for at en tredjepart har kunnet lese brukernes krypterte meldinger.
