Symantec đã buộc phải sa thải 3 nhân viên của mình sau khi Google tìm thấy các chứng chỉ SSL giả mạo được ban hành dưới tên của Symantec.

Chứng chỉ SSL là một tiêu chuẩn công nghệ, qua đó các nhà cung cấp dịch vụ web và trình duyệt tạo ra một kênh truyền thông an toàn và hợp pháp.

Các chứng chỉ này được sử dụng hàng tỷ lần mỗi ngày và đã trở thành một phương thức phổ biến trong việc đảm bảo thông tin liên lạc giữa người dùng và ngân hàng, cửa hàng trực tuyến, mạng xã hội, và bất kỳ trang web nào muốn bảo vệ người dùng và dữ liệu cá nhân của họ khỏi tin tặc và các cơ quan chính phủ muốn xâm nhập vào sự riêng tư.

Chịu trách nhiệm phát hành các chứng chỉ này là một cơ quan chứng nhận (Certificate Authority – CA). Có rất nhiều CA trên toàn thế giới, tất cả đều nhận được sự công nhận và tin cậy của các nhà sản xuất trình duyệt để cấp chứng chỉ cho khách hàng được ủy quyền và đáng tin cậy. Một trong những CA này là Symantec.

Dự án Chứng chỉ số minh bạch (Certificate Transparency) của Google lần đầu tiên thấy chứng chỉ SSL giả.

Ngày 18/9 các kỹ sư của Google trong dự án Chứng chỉ số minh bạch, dự án tăng cường kiểm tra đối các chứng chỉ SSL giả mạo được sử dụng trong thực tế, đã tìm thấy một loạt chứng chỉ SSL Google.com giả được ban hành bởi Symantec.

Điều tồi tệ nhất là những chứng chỉ này được gắn mác "xác nhận mở rộng", có nghĩa là Symantec đã tiến hành kiểm tra thêm về khách hàng để xác nhận danh tính thực sự của họ. Thông tin này không được xác nhận chính thức trong thông cáo báo chí của Google hay Symantec.

Google đã lên danh sách đen những chứng chỉ giả này. Vì chỉ bị rò rỉ trong một ngày, Google và Symantec không tin rằng chúng có thể được sử dụng cho các cuộc tấn công trong thực tế.

Nếu tin tặc có thêm thời gian, các chứng chỉ SSL giả có thể đã được sử dụng trong các cuộc tấn công MITM (man-in-the-middle), cho phép tin tặc chặn thông tin liên lạc an toàn giữa người sử dụng và các dịch vụ được Google vận hành, như Gmail, Google+, YouTube.

Không phải là lần đầu tiên các chứng chỉ SSL giả mạo được phát hiện

Đây không phải là lần đầu tiên điều này xảy ra. Năm 2011, CA Diginotar đã bị xâm nhập và tin tặc đã ban hành hàng trăm chứng chỉ giả. Một số chứng chỉ SSL này (cũng được phát hành dưới tên của Google) đã được sử dụng bởi chính phủ Iran để do thám các tù nhân chính trị.

Sự cố Diginotar đã thuyết phục các nhà sản xuất trình duyệt và các cơ quan chứng nhận trên toàn thế giới tạo ra dự án Chứng chỉ số minh bạch.

Điều tương tự cũng xảy ra trong tháng 12/2013, khi ANSSI cũng nhầm lẫn cấp giấy chứng nhận Google giả mạo, và vào cuối tháng ba năm nay, khi CNNIC CA ban hành một số chứng chỉ số trái phép cho một số tên miền của Google. Sau sự cố này, Mozilla và Google đã cấm tất cả các chứng chỉ SSL có xác nhận mở rộng và quyền root của CNNIC.

Symantec đã giải quyết vấn đề này bằng cách sa thải các nhân viên có lỗi

Điều tra vụ việc gần đây của mình, Symantec đã nhanh chóng làm theo yêu cầu của Google trong vấn đề này.

Theo tuyên bố chính thức, Symantec nói rằng các chứng chỉ giả mạo được phát hành để kiểm tra bên trong công ty, và đã ngay lập tức bị thu hồi khi Google thông báo cho họ về sự rò rỉ.

Theo whitehat.vn