VeriSign to amerykańska firma, która odpowiada za rejestry domen, takich jak .com, .gov czy .net, przetwarza blisko 50 milionów zapytań dziennie i jeszcze do niedawna była jednym z największych dostawców certyfikatów SSL. Okazuje się, że VeriSign padła ofiarą wielokrotnych ataków ze strony hakerów, którzy wykradali z jej serwerów informacje. Jakie to informacje były i czy bezpieczeństwo stron internetowych na całym świecie nie jest zagrożone?
Ataki zostały przeprowadzone, uwaga: w 2010 roku, ale dopiero teraz opinia publiczna się o nich dowiaduje. Zostały one ujawnione przy okazji kwartalnego raportu dla SEC – amerykańskiej Komisji Papierów Wartościowych i Giełd. Firma przyznała się do faktu, że została zaatakowana, ale na razie nie wiadomo, jakie dokumenty i pliki zostały jej ukradzione, i w tej sprawie, każdy, kto może milczeć, korzysta z tej okazji. Na razie płyną tylko uspokajające komunikaty, że certyfikaty zabezpieczeń VeriSign nie zostały złamane. Wygląda jednak na to, że gdzieś ochrona zawiodła.
Smaku całej sprawie dodaje fakt, że, jak wspomniałem wcześniej, VeriSign było jednym z największych dostawców SSL na świecie i dopiero w 2010 roku sprzedała ten dział firmie Symantec (dziwna zbieżność dat, prawda?). Jedna i druga firma zapewniają oczywiście, że bezpieczeństwo certyfikatów nie zostało naruszone i że można spać spokojnie. Ale o tym, co dokładnie się stało wciąż nic nie wiadomo.
Trudno sobie wyobrazić konsekwencję, gdyby w ręce hakerów dostały się informacje kluczowe dla bezpieczeństwa naszych danych w internecie. Dobrze skwitował to Steward Baker, były zastępca Sekretarza Departamentu Bezpieczeństwa Wewnętrznego, który na wieść o całej sytuacji zareagował:
O mój Boże. To może pozwolić im podszyć się pod niemal każdą firmę w sieci
Swoje trzy grosze dorzucił także Dmitri Alperovich, prezes Asymmetric Cyber Operations, który stwierdził, że gdyby SSL zostało złamane, to:
można by stworzyć certyfikat Bank of America czy Google, które zostałyby zaakceptowane przez wszystkie przeglądarki na świecie
Nawet jeżeli takie zagrożenie w tym przypadku nie ma miejsca, to nie znaczy, że nie będzie podobnego, bardziej skutecznego ataku w przyszłości. Prowadzi to do pytania o poziom bezpieczeństwa internetu, pytania, na które nie ma dobrej odpowiedzi. Jednak dość bulwersujący jest fakt, że tak istotne dla funkcjonowania światowego internetu narzędzia znajdują się niemal poza jakąkolwiek kontrolą, w rękach prywatnych podmiotów. I nie chodzi mi tutaj o nacjonalizację tego typu instytucji prywatnych, ale o fakt większej nad nimi kontroli. Skoro przez tyle czasu informacja o ataku na jedną z najbardziej kluczowych firm była utajniona w taki czy inny sposób, to w jaki sposób państwo może szybko reagować na ataki zagrażające po części również jego bezpieczeństwu?
Warto również zastanowić się nad tym pytaniem w czasach, kiedy ataki hakerskie stają się często elementem działań wojennych czy szpiegostwem prowadzonym sprzed monitora.