Эпизод 9: Политика и взлом почты иранцев
@BlackMASTpeakerВЕДУЩИЙ: Парень из Ирана проверяет свою электронную почту. Он вводит gmail.com в свой браузер и нажимает Enter. Выскакивает странное предупреждение. Он не может получить доступ к Gmail. Он подключается к VPN и пытается снова. Через впн коннектится нормально. Он публикует вопрос на форумах Google, спрашивая, не происходит ли возможная атака. Он также говорит, что подозревает, что его интернет-провайдер или иранское правительство делают что-то подозрительное. Google не только отреагировал на сообщение на форуме, но и опубликовал предупреждение о безопасности для всего мира и выпустил экстренный патч для своего браузера Chrome. Mozilla, Microsoft и Apple быстро выпустили аналогичные обновления безопасности. Произошла атака на пользователей Gmail; атака, подорвавшая безопасность во всех браузерах, атака, имевшая разрушительные последствия.
Затем мы видим странный пост на Pastebin. Pastebin — это веб-сайт, на котором любой желающий может опубликовать сообщение анонимно. Это сообщение было написано человеком по имени Comodo Hacker и гласит: «Здравствуйте. Я пишу это всему миру, чтобы вы узнали об этом больше, но сначала я хочу дать вам несколько советов, чтобы вы были уверены, что я хакер. Я взломал Comodo (Comodo Internet Security — программный комплекс, состоящий из антивируса и персонального файрвола, а также песочницы, системы предотвращения вторжений HIPS и виртуальной среды «Virtual Kiosk» для Microsoft Windows XP, Vista, Windows 7 и Windows 8.) с помощью мгновенного SSL. Их логин/пароль был GT admin и global trust. Я хакер-одиночка с опытом как у 1000 хакеров». Далее в сообщении объясняется, как он попал внутрь и что он сделал. В самом конце он пишет на персидском: «Я пожертвую своей душой за моего лидера». Пять дней спустя Comodo объявляет о втором вторжении, но упоминает, что хакер ничего не смог сделать, и они устранили дыры в своей сети. В целом, Comodo довольно хорошо справился с этой проблемой. Они быстро обнаружили и устранили проблему и уведомили общественность.
Компания DigiNotar знала, что безопасность жизненно важна для репутации компании, и вложила значительные средства в собственную безопасность. Мне нравится иногда думать о защите сети, как о защите замка с десятью тысячами дверей и окон. Даже если вы потратите время, чтобы проверить каждую дверь и окно, чтобы убедиться, что они заперты, вы можете пропустить одну из них или не знать о ней, и со временем вы обязательно совершите ошибку и оставите дверь незапертой. Потому что вы были ленивы или рассеяны, но люди ошибаются. Летом 2011 года DigiNotar совершил такую ошибку, и в их сеть проник хакер.
ЖОЗЕФИНА: Атака начинается с того, что злоумышленник фактически подключается к общедоступным веб-серверам, которые есть у DigiNotar. Злоумышленник подключается к своим веб-серверам, использует некоторые из этих устаревших уязвимостей и использует эти уязвимости, чтобы пройти через этот невероятно обширный набор правил брандмауэра в то, что должно быть самым безопасным хранилищем их сети. Далее хакер получает сертификаты сети.
ВЕДУЩИЙ: С этими сертификатами хакер теперь может стать фактически Google. Он может заставить браузер поверить, что это google.com. Это потому, что DigiNotar был одним из доверенных центров сертификации в браузере. Это нарушение произошло 10 июля 2011 года, и в итоге он выдал 531 мошеннический сертификат. Девять дней спустя DigiNotar обнаружил нарушение, но не объявил об этом публично. Месяц спустя на форуме Google появилось сообщение о человеке в Иране, который не смог попасть на gmail.com.
ЖОЗЕФИНА: Людей в Иране, которые пытались подключиться к своим учетным записям Gmail, перенаправляют на неверный веб-сайт, который, вероятно, выглядит точно так же, как настоящий Gmail. Поскольку у них есть мошеннические сертификаты, выпущенные DigiNotar, люди, создавшие этот поддельный веб-сайт Gmail или Google, могут на самом деле подписать его и выглядеть так, как будто это действительно сайт Google. Люди заходят на сайты Google и вводят свои учетные данные. Мы подозреваем, что эти учетные данные затем используются для слежки за их учетными записями Google различными способами.
ВЕДУЩИЙ: Хакер обманул DNS-серверы в Иране, чтобы любой, кто ищет google.com, вместо этого перенаправлялся на его IP. Более 300 000 человек из Ирана посетили мошеннический сервер. Эта атака, похоже, была направлена против иранских мирных жителей. Эта атака могла остаться незамеченной какое-то время, но у Google был хитрый способ ее обнаружить.
ДЖЕРВЕЙС: В случае с DigiNotar их сеть была тщательно взломана в течение нескольких месяцев. В их журналах был беспорядок. Их инфраструктура была в беспорядке. Не было никакого способа указать масштаб взлома. Из-за катастрофических сбоев в системе безопасности было невозможно продолжать какое-либо доверие к системам и организациям DigiNotar.
ВЕДУЩИЙ: Когда Mozilla решила, что DigiNotar больше не заслуживает доверия, они удалили их из корневого хранилища, но пользователям нужно было обновить свой браузер, чтобы получить версию Firefox, которая не доверяла DigiNotar. Все остальные корневые хранилища также удалили DigiNotar из списка доверенных. Спустя почти два месяца после взлома и спустя много времени после того, как Иран стал целью массированной атаки, DigiNotar наконец публично признала, что была взломана.
ЖОЗЕФИНА: Как только это произошло, компания в значительной степени исчезла из поля зрения. Мы не знаем, кто это сделал. Никто не был пойман или привлечен к ответственности за это нарушение. Fox-IT также обнаружила, что хакер оставил сообщение на сервере, который был взломан. Частично он гласил: «В этом мире не существует никакого оборудования или программного обеспечения, которое могло бы остановить мои сильные атаки, мой мозг, мои навыки, мою волю или мой опыт». С сообщением в конце на персидском языке: «Я пожертвую своей душой ради своего лидера».
ВЕДУЩИЙ: Но кому захочется читать электронную почту иранских граждан? У США были конфликты с Ираном, поэтому это может вызывать подозрения. Эта теория не очень сильна и почти не имеет других доказательств, так кто же еще может нацеливаться на простых жителей Ирана? Само иранское правительство. Чтобы понять почему, нам нужно вернуться на два года назад до взлома. В 2009 году в Иране прошли президентские выборы. Мамуд Ахмадинежад победил на выборах, набрав 63 процента голосов, но против этого была сильная оппозиция. Многие иранцы считали, что голоса были подделаны, а выборы сфальсифицированы. Сразу же начались протесты. Это создало раскол среди народа Ирана. Некоторые люди стали крайне недоверчивыми к правительству, в то время как другие стали чрезвычайно лояльными. Полиция начала арестовывать протестующих, а когда протестующие не уходили, в них распыляли перцовый баллончик, били дубинками, а иногда и стреляли.
В течение трех месяцев после выборов погибли семьдесят два протестующих. Коррупция была настолько сильна, что полиция заставляла семьи подписывать бумаги, в которых говорилось, что их умершие родственники умерли от сердечного приступа, а не от жестокости полиции. Как вы можете себе представить, это только разожгло еще больше эмоций у жителей Ирана. В течение многих лет после этого иранское правительство усердно работало над устранением любой правительственной оппозиции. Это продолжалось до тех пор, пока не произошла атака DigiNotar. Есть сильная теория, что этот взлом был сделан самим иранским правительством или кем-то, кто пытался помочь иранскому правительству. Возможно, они просматривали электронные письма, пытаясь найти инакомыслящих и тех, кто недоволен иранским президентом. Если бы они были обнаружены, это могло привести к аресту, пыткам или убийству людей.
ВЕДУЩИЙ: Взлом происходит во всем мире. Это меняет наш подход к обеспечению безопасности. В некотором смысле хакеры подобны иммунной системе Интернета. Они заражают нас, мы болеем, выздоравливаем, а потом становимся еще сильнее. Даже сегодня, столько лет спустя, когда в компании случается крупная брешь, кто-то всегда напоминает нам о судьбе DigiNotar.