A maioria dos usuários provavelmente se sentem seguros ao ver o cadeado na janela do navegador que parece indicar que é seguro e seguro para se comunicar com uma conta de e-mail ou um banco. Enquanto SSL é melhor do que nada, sabemos também que certamente não parar ataques man-in-the-middle (MITM). Mais ou menos, nós confio nossos navegadores para aceitar silenciosamente certificados digitais confiáveis de uma Autoridade de Certificação (CA) de modo que podemos confiar que um site para que surfou é o local autêntico e real.
Mas com CAs comprometida, o cyberthugs por trás dos certificados desonestos pode representar o tráfego HTTPS para esses sites. Pense em quantas pessoas usam o Google, Skype, ou Yahoo. Este foi grande, pessoal!
Pode ser extremamente envolvido para embrulhar seu cérebro em torno de Autoridades de Certificação (CA), como eles funcionam, e como o sistema é falho.
Um invasor com certificados falsos e acesso a conexão de Internet de um alvo pode lançar um ataque MITM, tornando assim possível escutar, observar e /ou gravar tudo criptografado tráfego da web para o site comprometido enquanto o utilizador está à nora para o que está acontecendo. Mesmo se não é seu
Big Brother, de alguém Big Brother
estava em seu browser e que distribui mentiras certificados. Graças a Deus existem pessoas como Jacob Appelbaum observação para nós de detectar CAs fraudulenta.
O pesquisador de segurança e desenvolvedor Tor Jacob Appelbaum fez grande investigação e, em seguida, um maravilhoso escrever-se sobre o compromisso da CA e perto de acobertamento de vários certs fraudulentas. Appelbaum, também conhecido como IOError no Twitter, descobriu o compromisso CA em estado selvagem.
Ele escreve: "Na semana passada, uma arma fumegante entrou em vista: uma autoridade de certificação parecia estar comprometida em alguma capacidade, e que o atacante emitido si certificados HTTPS válidos para sites de alto valor Com esses certificados, o invasor pode representar as identidades. dos sites vítima ou outros sistemas relacionados, provavelmente undetectably para a maioria dos usuários na internet. "
Ele contatou Google e Mozilla, mas realizou-se a um embargo sobre a divulgação. Os certificados foram emitidos pela comprometidos USERTRUST rede que faz parte da Comodo.
Google tinha remendado Chrome na semana passada e Mozilla conseguiu incluir na lista negra no Firefox 4. Quando Mozilla blog sobre o assunto, o mesmo que fizeram A