Աշխարհում այդքան մեծ տարածում գտած ֆիշինգը, որի մասին արդեն գրել եմ այստեղ, ահռելի վնասներ է հասցնում բոլոր այնպիսի կազմակերպություններին, ովքեր օնլայն ծառայություններ են մատուցում մարդկանց` օր. Paypal-ը: Թվում էր, թե լուծումը, որպես այդպիսին գտնված է, և այսպես կոչված EV(Extended Validation) սերտիֆիկատները,որոնցից կարող եք ձեռք բերել նաև արդեն Հայաստանում` Apaga Technologies ընկերությունից, պետք է զերծ պահեին մեզ ֆիշինգի երևույթից: Բայց պարզվում է, որ մուտք փնտրողը միշտ էլ գտնում է իր ճանապարհը: Նախ մի քիչ պատմեմ EV սերտիֆիկատների մասին, հետո հակիրճ կներկայացնեմ որոշակի թերություններ:
Ինչպես արդեն նշել եմ ֆիշինգի մասին իմ հոդվածում, շատ հաճախ մարդկանց ուղղակի կարող են խաբել, և պարզապես ուղարկելով մեկ հատիկ կեղծ նամակ` դրդելով նրանց իրենց ձեռքով ներմուծել իրենց գաղտնի ինֆորմացիան այնտեղ, որտեղ պետք չէ դա անել: Հենց այդ նպատակով էլ ստեղվել են EV սերտիֆիկատները, որոնք այնքան վառ են պատկերում իրական կայքի տիրոջ մասին ինֆորմացիան, որ դա չնկատել ուղղակի հնարավոր չէ: 
Հենց բրաուզերի url-ի տողում կանաչ ֆոնի վրա գրվում են կայքի իրական տիրոջ անվանումը և որոշակի այլ տվյալներ: Այսպիսով, օգտագործողներ, տեսնելով բրաուզերի կանաչ տողը, կարող են համոզված լինել, որ իրենք գտնվում են վստահելի կայքում, օրինակ իրենց բանկի կայքում, և կարող են հանգիստ այդ կայքում ներմուծել իրենց հաշվեհամարի որոշակի տվյալներ: Իրականում EV սերտիֆիկատի միակ արժանիքը բրաուզերի կանաչ տողը չէ, փոխվել են նաև տվյալների կոդավորման եղանակները, բայց հասարակ օգտվողների համար առաջնայինը արտաքին տեսքով տարբերվող և վստահություն ներշնչող կանաչ տողն է:
Այս կարևորագույն հանգամանքը հաշվի առնելով էլ, դեռևս 2008-ի մարտին Paypal-ը իր բոլոր օգտագործողներին խորհուրդ տվեց հեռու մնալ Safari բրաուզերից, քանի որ այդ բրաուզերում EV սերտիֆիկատները չէին պատկերվում և կանաչ տողը չէր երևում:
Այս ամենը իհարկե շատ լավ է ու վստահություն ներշչող, բայց դեռևս 2009-ի մարտին, երկու անվտանգության մասնագետներ Ալեքս Սոտիրովը և Մայք Զուսմանը հայտնաբերել են, որ նախկինում MitM(Man in the Middle) հարձակումներից ապահով համարվող EV սերտիֆիկատն իրականում այդքան էլ ապահով չէ: Ավելի ճիշտ, ոչ թե սերտիֆիկատն է վտանգի ենթարկվող, այլ դեռևս բազմաթիվ բրաուզերների թերությունների պատճառով իրականում MitM հարձակումները հնարավոր են` պահպանելով բրաուզերի վրայի կանաչ ֆոնը: Այս մասին նրանք հայտնել են դեռևս 2009-ի մարտին Վանքուվերում կայացած CanSecWest կոնֆերենցիայի ժամանակ:
Հետագայում ավելի մանրամասն կգրեմ MitM հարձակումների մասին, հիմա պարզապես նշեմ որ դրա իմաստը կայանում է SSL սերտիֆիկատի կեղծումը:
Ինչ վերաբերում է EV սերտիֆիկատներին, մասնագետների խոսքով նրանց դեպքում էլ հիմնական գործողությունը SSL սերտիֆիկատի կեղծումն է, որը կատարելը այդքան էլ դժվար չէ: Հետո, երբ արդեն հաքերն ունի կեղծ սերտիֆիկատ, թողնում է, որպեսզի այցելուն մտնի իրական կայքը, տեսնի բրաուզերի կանաչ տողը, վստահ ներմուծի իր տվյալները, և հենց այդ ժամանակ, նա փոխարինում է սերտիֆիկատը իր ունեցածով, որը թույլ է տալիս էջում ցուցադրել java-script կոդ կամ որոշակի այլ ինֆորմացիա: Դե իսկ բրաուզերը շարունակում է ցույց տալ կանաչ տողը, չհասկանալով փոփոխված սերտիֆիկատի գոյությունը:
Այսուհանդերձ Սոտիրովը նշում է, որ EV սերտիֆիկատները եղել և մնում են դեռևս ամենաանվտանգը, բայց քանի դեռ բրաուզերները չեն վերացրել իրենց թերությունները գույների տարբերակման հետ կապված` մենք չենք կարող ամբողջովին վստահ լինել, որ կանաչ տողը երաշխավորում է մեր անվտանգությունը:
Գուցե բրաուզերներն արդեն շտկել են իրենց թերությունները, կամ արդեն պատրաստվում են: Դեռ կգրեմ այս մասին:
Վարդան Գրիգորյան / blog.grigoryan.biz
Компании, выпускающие уязвимые сертификаты
* RapidSSL
C=US, O=Equifax Secure Inc., CN=Equifax Secure Global eBusiness CA-1
* FreeSSL (бесплатные временные сертификаты, предлагаемые RapidSSL)
C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Network Applications
* TC TrustCenter AG
C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data Networks GmbH, OU=TC TrustCenter Class 3 CA/emailAddress= certificate@trustcenter.de Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
* RSA Data Security
C=US, O=RSA Data Security, Inc., OU=Secure Server Certification Authority
* Thawte
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress= premium-server@thawte.com Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
* verisign.co.jp
O=VeriSign Trust Network, OU=VeriSign, Inc., OU=VeriSign International Server CA – Class 3, OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
Какие существуют средства защиты?
* В качестве временного решения рекомендуется максимально ограничить количество центров сертификации, которым вы доверяете, и исключить из списка доверенных центры сертификации, перечисленные выше.
* Все подробности уязвимости не разглашены, поэтому вероятность подобной атаки уменьшается.
* Сертификат, который использовался для демонстрации уязвимости, является просроченным.
* Компании могут настроить OSCP сервер и отозвать потенциально опасные сертификаты. Внимание, фальшивый сертификат может содержать некорректные данные о CRL и такой сертификат будет проблемно отозвать.
es saytum inchi norutyunner chen avelanum