Первое сообщение о возможной атаке появилось на форуме техподдержки Google. Некий продвинутый пользователь, проживающий, по его словам, в Иране, пожаловался, что, когда он пытается зайти на Gmail с помощью Chrome, браузер предупреждает его о подозрительном сертификате. По-видимому, сработали добавленные в Chrome в июне дополнительные средства обеспечения безопасности.
"Когда я пользовался VPN, никаких предупреждений не было. Я думаю, это мой провайдер или правительство устроило эту атаку", — добавил автор исходного сообщения. Поскольку все интернет-соединения в стране идут через сеть местной телекоммуникационной компании Ertebatat Zirsakht, предположения, что она замешана в происходящем, не замедлили появиться.
В Google быстро выяснили, что злоумышленник использовал фальшивый SSL-сертификат, выпущенный и уже отозванный голландским центром сертификации DigiNotar. Поддержка всех сертификатов DigiNotar в Chrome была немедленно отключена; на ситуацию также оперативно отреагировали в Microsoft и в Mozilla, отключив сертификаты DigiNotar и в своих браузерах.
Кроме сертификата gmail.com, в распоряжении злоумышленников оказалось более пятисот SSL-сертификатов для целого ряда крупнейших доменов интернета, в числе которых google.com, microsoft.com, mossad.gov.il, mozilla.org, skype.com, torproject.org, windowsupdate.com, twitter.com и aol.com.
Поскольку скандала было уже не утаить, компания VASCO, которой DigiNotar приходится дочерней структурой, признала, что вообще-то о хакерской атаке на DigiNotar было известно с 19 июля. Согласно пресс-релизу, когда вторжение было обнаружено, в DigiNotar направили специалистов по компьютерной безопасности из компании Fox-IT. Они провели аудит и пришли к выводу, что проблема устранена, а все утекшие сертификаты отозваны. Затем последовали полтора месяца молчания, о которых в DigiNotar, наверное, уже жалеют.
События развивались следующим образом. Злоумышленники (или злоумышленник) получили доступ к сети DigiNotar 17 июля и орудовали там ещё пять дней. За это время они завладели административными правами на двух сертификационных серверах и выпустили сотни сертификатов. 19 июля в ходе рутинной проверки сотрудники DigiNotar обнаружили и немедленно отозвали 128 «фальшивых» сертификатов. 20 июля нашлись ещё 129 таких сертификатов. Они были отозваны на следующий день. 27 июля вспыли и тоже были отозваны ещё 75 нелегально полученных сертификатов. 29 июля обнаружен и отозван выпущенный злоумышленниками сертификат google.com.
