Pavogtas Google SSL sertifikatas – visi Google paslaugų vartotojai yra pavojuje

2011-08-31 11:00   Peržiūros : 329   Spausdinti


Hakeriai gavo Google tinklalapio patvirtinimo sertifikatus, sukeldami pavojų kiekvienam, kas lankosi Google valdomuose tinklalapiuose, tarp kurių yra Gmail ir YouTube.

SSL (Secure Sockets Layer) sertifikatas leidžia kiekvienam jo turėtojui sukurti suklastotą tinklalapį, naudojantis tikruoju Google adresu. Tokiu atveju auka manys, kad lankosi visiškai saugiame Google tinklalapyje, tačiau iš tikrųjų už viso to slėpsis kibernetiniai nusikaltėliai, kurie galės surinkti visus jos asmens duomenis. Be to, nusikaltėliai turi galimybę slapta stebėti užkoduotą duomenų.

Daugelis phishingo el. laiškų ar spoofingo būdu suklastotų tinklalapių atrodo tikri, tačiau atidžiau patyrinėjus, galima aptikti adreso rašymo klaidų, neužšifruoto naršymo tinklalapyje atvejų arba tinklalapio adresą, kuris visai nepanašus į tikrąjį adresą. Antivirusinės programos dažnai gali aptikti tokius suklastotus tinklalapius dar prieš apgaunant vartotoją.

Tačiau pavogtas SSL sertifikatas yra kur kas rimtesnė problema ir gali padaryti daug daugiau žalos, nes vartotojui prisijungus prie savo Gmail sąskaitos arba gavus el. laišką su nuoroda į bet kokį Google.com valdomo tinklalapio adresą, visa vartotojo informacija gali būti pavogta.

Kaspersky Lab tyrėjas Roel Schouwenberg teigė: „Šis konkretus sertifikatas dar yra vadinamas „universalaus simbolio" sertifikatu. Jis galioja bet kuriam google.com subdomenui. Tai reiškia, kad šis sertifikatas suteikia galimybę kibernetiniam nusikaltėliui virtualioje erdvėje stebėti visas Google paslaugas, tarp kurių yra ir Gmail, kai tuo tarpu duomenų srautas yra užkoduotas. Nusikaltėlis galėtų ne tik skaityti / rašyti el. laiškus, bet ir pasisavinti aukos Google prisijungimo duomenis."

Apie visa tai vartotojas net nesužinos, nes niekas tinklalapyje nepasikeis, o išpuolis gali būti įvykdytas užkoduotame Gmail tinklalapyje.

Hakeriai prisijungė prie SSL sertifikato liepos 19d. iš DigiNotar (olandų sertifikavimo įstaigos).

Bendrovė spaudai teigė, kad įsilaužimo metu „daugeliui domenų, įskaitant Google.com, buvo išduoti viešųjų raktų sertifikatai pagal suklastotus prašymus."

DigiNotar sakė anuliavusi visus neteisėtai išduotus sertifikatus, tačiau „neseniai" ji aptiko mažiausiai vieną suklastotą sertifikatą, kuris tuo metu nebuvo panaikintas." Iki to sertifikato Google.com anuliavimo jis egzistavo daugiau kaip penkias savaites.

Schouwenberg sakė: „Tokie išpuoliai labiausiai būdingi žvalgybos / šnipinėjimo operacijoms. Negalima pamiršti, kad tokie išpuoliai yra gana tikslingi ir - labiausiai tikėtina - vykdomi mūsų tautos atstovų."

DigiNotar tinklalapyje buvo rašoma: „Nulaužė KiAnPhP, Extrance Digital Security Team, Irano hakeriai."

Gali būti, kad Irano vyriausybė tokius metodus naudoja vietiniams disidentams stebėti. Tokios nuomonės yra ir Google, kurios tinklaraštyje sekmadienį (rugpjūčio 28 d.) buvo paskelbtas įrašas, kad „labiausiai nukentėjo vartotojai, esantys Irane."

Tačiau kitame kibernetinių nusikaltėlių nulaužtame DigiNotar tinklalapyje buvo rašoma: „Nulaužė Black.Spook! Persijos įlanka amžinai!!!"

Schouwenberg teigė: „Deja, yra tik keli būdai šiai problemai išspręsti. Dabar mūsų viltis - naršyklių kūrėjai, kurie turėtų išleisti naršyklės atnaujinimą, kuriame šis konkretus sertifikatas būtų įtrauktas į juoduosius sąrašus."

Laimei, Mozilla Firefox, Microsoft Internet Explorer ir Google Chrome atnaujino savo interneto naršykles, siekiant užblokuoti pavogtą Google SSL sertifikatą.

Google perspėja vartotojus, ypač esančius Irane, kad jie „atnaujintų savo interneto naršykles ir operacines sistemas bei atkreiptų dėmesį į interneto naršyklių saugos reikalavimus."

 


Kategorijos: Technologijos, Interneto ryšio tiekėjai, svetainių ir serverių talpinimas
Technologijų tendencijos 2019 metais: 5G era ir sulankstomi išmanieji

Technologijų tendencijos 2019 metais: 5G era ir sulankstomi išmanieji

Technologijų pasaulis yra nenuspėjamas. Tai, kas kartais atrodo sunkiai įsivaizduojama, vieną dieną netikėtai gali atkeliauti į kiekvieno iš mūsų namus. 

Kaip prekiauti Etsy pardavimų platformoje

Išplėsti pardavimo rinkas gali padėti e-parduotuvės atidarymas globalioje ETSY prekybinėje platformoje 

mobilus atsiskaitymai

Mobiliųjų atsiskaitymų banga: kas užtikrina saugumą?

Kartais atrodo ganėtinai rizikinga patikėti piniginius reikalus mobiliajam įrenginiui. Kiek tai yra saugu ir kas užtikrina asmeninių duomenų apsaugą?  

Viešbučių instaliacijos sistemos

Šiuolaikinių viešbučių elektros instaliacija turi atitikti pačius aukščiausius dizaino ir funkcionalumo reikalavimus 

RRT įspėja: naudotojų įrenginiai be jų žinios gali būti išnaudojami kriptovaliutai generuoti

Daugėja interneto svetainių, kuriose apsilankiusio asmens įrenginio (pvz., kompiuterio) resursai, pačiam asmeniui nežinant, pradedami naudoti kriptovaliutai generuoti. 

Ką kitiems metams turėtų pasižadėti IT specialistai?

Kibernetiniai nusikaltėliai randa būdų ir saugumo spragų įsilaužti į įmonės tinklus bei serverius 

Dėmesio: dešimtmečiais kauptus duomenis galite prarasti akimirksniu

Didžiausios kompiuterių savininkų ir naudotojų klaidos.  

Daiktų internetas – tai jau dabartis

Kuo gi DI skiriasi nuo mums įprasto interneto ar žmogaus tiesiogiai valdomų IT prietaisų naudojimo?  

Ekspertė: ateities specialistai – tarpininkai tarp IT paslaugų užsakovų ir programuotojų

Populiarus programuotojo įvaizdis - žmogus, kurio galvoje ir kompiuterio ekrane tik skaičiukai - neatitinka tikrovės 

Dažniausios Lietuvos bendrovių klaidos, daromos migruojant į debesis

Keliantis į debesį teks peržiūrėti turimas programinės įrangos licencijas ir greičiausiai jas atnaujinti 

Paslaptingas „kirminas“ nusitaikė į belaidžio ryšio maršrutizatorius

Saugumo sprendimų kūrėja perspėja apie kenkėjišką programą „The Moon“, plintančią per belaidžio interneto maršrutizatorius. 

Interneto pardavimai.Google.

7 taisyklės, kurių laikydamiesi, priversite Google pamilti Jūsų interneto svetainę

Pritaikę šias taisykles, priversite Google pardavimų mašiną dirbti Jūsų verslo labui.  

Populiarėja pokalbiai dėl darbo internetu

Nenustebkite, jei galimas darbdavys pasiūlys pakalbėti dėl darbo internetu. 

Juodasis SEO ir Interneto autoritetai

•Juodosios SEO technologijos: Kaip pašalinti svetainę iš paieškos rezultatų? 

Temą atitinkančios įmonės kataloge:


1 2 3 4 5 ... 13
Crm programinė įranga.
J. Jasinskio g. 16A, Vilnius
Mobilus: +370-672 50679, El. paštas: support@teamgate.com
1 2 3 4 5 ... 13
Kompanijų produkcija
CRM sistema
CRM sistema

CRM - kas tai? Klientų valdymo sistema, CRM programa, CRM...

Klientų valdymo sistema
Klientų valdymo sistema

CRM programa, CRM sistemos, klientų valdymo programa, san...

CRM sistema verslui

Klientų valdymo programa, pardavimų valdymo programa. Pro...

Žmogiškųjų resursų valdymo ir apskaitos sistema - Alga 2000® SQL
Žmogiškųjų resursų valdymo ir apskaitos sistema - Alga 2000® SQL

Žmogiškųjų resursų valdymo ir apskaitos sistema

Informacinių sistemų diegimas
Informacinių sistemų diegimas

Sistemų diegimas, mokymas, IT konsultacijos

Finansinių procesų valdymo ir apskaitos programų sistema - Profit-W® SQL
Finansinių procesų valdymo ir apskaitos programų sistema - Profit-W® SQL

Finansinių procesų valdymo ir apskaitos sistema

DBVS pardavimas ir instaliacija
DBVS pardavimas ir instaliacija

Kompiuterinės technikos, DBVS, sisteminių priemonių parda...

 IT konsultacijos
IT konsultacijos

Sistemų diegimas, mokymas, IT konsultacijos

2012-03-07 Kurioje nišoje matote laisvos vietos kurti elektroninę parduotuvę?

Atsako reklamos planavimo internete specialistas S. Jeriomenko.

daugiau