Tin tặc chiếm đoạt hơn 200 chứng chỉ số SSL

Nguồn tin cho biết, chứng chỉ số của DigiNotar bị giả mạo cho cả các website của Mozilla, Yahoo và Tor chứ không chỉ riêng Google.

Tin tặc có thể đã chiếm đoạt được hơn 200 chứng chỉ số từ một công ty Hà Lan, có tên DigiNotar sau khi đột nhập thành công vào mạng của công ty này. Ngoài Google ra, các chứng chỉ mất cắp còn liên quan đến cả Mozilla, Yahoo và dự án Tor, một nhà nghiên cứu bảo mật cho biết hôm 31/8/2011.

Con số mất cắp lớn hơn đáng kể so với sự thừa nhận của DigiNotar. Hồi đầu tuần, một phát ngôn viên của công ty này cho biết "vài chục" chứng chỉ số đã bị những kẻ tấn công chiếm được.

"Khoảng 200 chứng chỉ số đã bị những kẻ tấn công chiếm đoạt", Hans Van de Looy, nhà tư vấn bảo mật kỳ cựu và là người sáng lập ra Madison Gurka, một công ty bảo mật của Hà Lan, dẫn lời một nguồn tin xin được giấu tên.

Van de Looy cho biết, theo nguồn tin thì những chứng chỉ số này liên quan đến cả mozilla.com, yahoo.com và torproject.org.

Tor là một hệ thống cho phép người dùng ẩn danh khi kết nối với các trang Web, và thường được sử dụng ở những nước mà chính phủ kiểm soát khắt khe các hoạt động trực tuyến.

Mozilla khẳng định rằng một chứng chỉ số cho trang web tiện ích add-on của hãng đã bị những kẻ tấn công DigiNotar chiếm đoạt. "DigiNotar thông báo cho chúng tôi rằng bọn đánh cắp đã lưu hành những chứng chỉ giả mạo addons.mozilla.org trong tháng Bảy, và đã thu hồi những chứng chỉ đó vài ngày sau", Johnathan Nightingale, Giám đốc phát triển Firefox, cho biết trong một tuyên bố hôm 31/8.

Con số mà Looy đưa ra phù hợp với tổng số chứng chỉ Google đã liệt vào danh sách đen trong trình duyệt Chrome.

Một mục trong cơ sở dữ liệu theo dõi lỗi Chromium liệt kê một danh sách đen gồm 247 chứng chỉ số vào hôm 31/8. Chromium là dự án mã nguồn mở cung cấp mã lệnh cho trình duyệt Chrome và hệ điều hành Chrome OS.

DigiNotar, một công ty Hà Lan đã bị mua lại bởi công ty Mỹ Vasco hồi đầu năm nay, phát hiện mạng của công ty bị xâm nhật vào ngày 19/7, và khẳng định những kẻ tấn công đã tự phát hành một số chứng chỉ có giá trị cho một số tên miền.

Công ty tuyên bố đã thu hồi tất cả các chứng chỉ gian lận, nhưng sau đó đã thừa nhận mình bỏ sót một chứng chỉ có thể được sử dụng để mạo nhận đối với bất kỳ dịch vụ nào của Google, bao gồm cả Gmail. DigiNotar chỉ công khai thừa nhận lỗi của mình sau khi có người báo cáo phát hiện của họ cho Google vào tuần trước.

Các nhà nghiên cứu bảo mật tỏ ra ngạc nhiên không hiểu vì lẽ gì mà DigiNotar đã không cho mọi người biết.

"Họ nói rằng họ chỉ thấy chứng chỉ gian lận cho google.com", Wisniewski cho biết trong một cuộc phỏng vấn hôm thứ Ba. "Nhưng những trang web khác chúng ta có nguy cơ gặp rủi ro khi viếng thăm trước đó thì sao? Các chứng chỉ khác cho Microsoft hay Yahoo hoặc PayPal? Sao họ không nói tới?"

Wisniewski tỏ ra không hài lòng với cách giải trình của DigiNotar.

DigiNotar cũng thừa nhận không biết về vụ hack trong hơn một tuần: Chứng chỉ của Google đã được phát hành ngày 10/7/2011, theo thông tin đăng trên Pastebin.com hôm thứ Bảy tuần trước, 9 ngày trước khi DigiNotar cho hay đã biết về cuộc tấn công.

"Trong 9 ngày, họ đã không biết về nó", Wisniewski nói. "Rồi họ đã mất bao lâu để quyết định thu hồi sau khi nhận biết?"

Wisniewski nói, DigiNotar đã thu hồi nhiều chứng chỉ vào các ngày 19/7, 26/7 và 16/8, đều là những ngày trước khi công ty Hà Lan thừa nhận vụ tấn công.

Roel Schouwenberg, một nhà nghiên cứu phần mềm độc hại cấp cao của Kaspersky Lab có trụ sở tại Moskva, cũng đã kịch liệt chỉ trích DigiNotar không “quản” được những chứng chỉ do mình cấp phát.

Theo Schouwenberg, vụ tấn công vào DigiNotar nhiều khả năng là hành động của một chính phủ, hoặc trực tiếp hoặc thông qua trung gian những kẻ “đánh thuê” hay được hỗ trợ.

"Việc thừa nhận các tên miền của Mozilla, Yahoo và dự án Tor là mục tiêu tấn công, giải thích đáng tin cậy nhất là một chính phủ cụ thể đứng đằng sau cuộc tấn công này", Schouwenberg lập luận.

Trong kịch bản đó, một chính phủ - có lẽ là Iran - sẽ sử dụng chứng chỉ giả mạo để đánh lừa người dùng nghĩ rằng họ đã vào một trang web hợp pháp trong khi thực tế thông tin liên lạc của họ đã bị chặn bí mật (kiểu tấn công MITD – Man-in-the-Middle).

Hôm thứ Hai, Google cho biết các cuộc tấn công bằng cách sử dụng chứng chỉ google.com giả mạo chủ yếu nhắm tới người dùng Iran.

Một số nhà sản xuất trình duyệt đã nhanh chóng chặn việc sử dụng tất cả các chứng chỉ do DigiNotar cấp phát.

Cuối ngày thứ Ba, Mozilla đã phát hành các bản cập nhật cho Firefox 6 và Firefox 3.6, bổ sung thêm chứng chỉ do DigiNotar cấp phát vào danh sách đen của các trình duyệt này. Google cũng thực hiện biện phát tương tự cho các phiên bản trình duyệt Chrome 13 và Chrome 14.

Trong khi đó, Microsoft đã loại mọi chứng chỉ của DigiNotar bằng cách thêm chứng chỉ do công ty Hà Lan cấp phát vào danh sách chứng chỉ bị cấm trong Windows Vista, Windows 7, Server 2008 và Server 2008 R2.

Tuy nhiên, vẫn còn rủi ro cho người dùng Windows XP hoặc Server 2003: Microsoft cho biết sẽ giải quyết cho những phiên bản này với một bản cập nhật tới đây, nhưng không cung cấp lịch trình.