Overvåket all Gmail-trafikk

De siste dagene har det blitt kjent at det nederlandske selskapet DigiNotar, som verifiserer sikkerhetssertifikater brukt på internett, har opplevd et innbrudd som ga inntrengere adgang til å overvåke nettrafikk til og fra nettbanker, e-posttjenester og andre lukkede tjenester. Dette er med andre ord en svært alvorlig hendelse, som kan få konsekvenser for svært mange brukere.

Sikkerhetssertifikater på nettet er en innretning selskaper bruker for å verifisere overfor brukerne at de er den de utgir seg for, og at kommunikasjonen med dem er trygg. Dersom sertifikatet en nettside sender ut skiller seg fra det som ligger lagret hos verifiseringstjenestene vil brukeren få en feilmelding på skjermen med en advarsel mot å gå videre.

Blant sertifikatene som ble stjålet fra Diginotar var sertifikater for Google.com og Googles e-posttjeneste Gmail, som har mellom 150 millioner og 200 millioner brukere verden over. Hackerne har gått inn og endret sertifikatene slik at det ikke ville bli oppdaget at trafikken mellom brukerne og tjenesten gikk via hackernes servere, såkalte mellomtjenere.

Selv kryptert nettraffikk vil lett kunne dekrypteres av noen som sitter på falske sertifikater.

- Har bevis
Det anerkjente sikkerhetsselskapet Trend Micro hevder nå å ha bevis for at aksjonen er rettet direkte mot iranske nettbrukere. Ifølge Trend Micro er det bare nettsurfere i Iran som har fått tilsendt de falske sertifikatene fra Diginotar. Trend Micro skriver på sin offisielle blogg at hackerne faktisk har lykkes i å lage falske sertifikater for alle nettsider med .com-endelse.

- Den 29. august ble det falske sertifikatet for Google.com utstedt av Diginotar oppdaget. Dette falske sertifikatet gjør det mulig at lytte på trafikk til og fra Gmail gjennom en «mellommannstaktikk». Trend Micro har konkrete bevis for at disse mellommannsangrepene foregikk i Iran i stor skala, skriver selskapet.

Angrepet ble oppdaget ved at Trend Micros overvåkningssystemer plukket opp at Diginotar plutselig fikk massiv trafikk fra Iran. Normalt er all trafikk til Diginotar fra Nederland.

- Vi må anta at en tredjepart har kunnet lese all e-post for alle iranske Gmail-brukere så lenge angrepet har vært uoppdaget, skriver Trend Micro.

Perfekt mellommann
Sikkerhetsekspert Rik Ferguson i Trend Micro skriver i et annet blogginnlegg at Iran er den perfekte mellommann for slike angrep, og antyder at den iranske stat med enkelhet kunne gjennomført dette.

- I Iran må all internettrafikk gå gjennom et statlig filter, en mellomtjener, og dermed er situasjonen perfekt for å kunne overvåke all trafikk ut og inn av landet. I dette tilfellet har Gmail-trafikken gått gjennom mellommannen i over en måned, skriver Ferguson.

Les også: Iransk student tar hacker-ansvar (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.