機内ネットサービスを提供するGogo、GoogleのSSL証明書を偽造して帯域制御していたことが明らかに 30
ストーリー by hylom
事前に告知しておけばよかったのに 部門より
事前に告知しておけばよかったのに 部門より
taraiok 曰く、
旅客機などで機内インターネットサービスを提供している「Gogo」が、偽造したGoogleのSSL証明書を使って帯域制御を行っていたそうだ(PCMag、VentureBeat、Slashdot)。
発見者はGoogle Chromeのセキュリティチームのメンバー「Adrienne Porter」氏。同氏はYouTubeや他のGoogleサイトを使用しようとしたときにSSL証明書の問題を発見したとのことで、証拠となるスクリーンショットも提示している。
この指摘に対しGogo側は、「飛行中のセッションの間、偽のSSL証明書を発行した」ことを認めている。CTOであるAnand Chari氏は、これについて「飛行中によりベストなインターネット体験を利用できるようにするため」とコメントしている。
Planeでネット使ったら情報が Plainに (スコア:2)
Re: (スコア:0)
プレーンテキスト・・・セキュリティ・・・うっアタマが
Re: (スコア:0)
私も随分昔にテレビで観たことがあります。
でもその頃は社名が微妙に違っていて、頭に「マッハ」ってついたような・・・
子供の頃の記憶なので間違いがあるかもしれません。
よくもまあ (スコア:0)
こんなひどいことをしたもんですね、これは盗聴行為ですね。
Re: (スコア:0)
リンク先を見ると、タイトルこそ「帯域制御」と穏やかだが、
記事では「中間者攻撃」「プライバシー侵害」「マルウェアへ誘導」等と
厳しい表現が並んでる
帯域絞るにしても、もっとマシな方法あるだろうに…
こんな手口が蔓延したら嫌だなぁ
Re:よくもまあ (スコア:2)
SSL通信に対してMITMとしてあれこれやる [mcafee.com]のは今更何を騒いでいるのって話だけど。その証明書はまずいな。
ま、あれこれやる時点で嫌いだけど。
Re: (スコア:0)
まさに何を今更なんだけど、だからって黙って見過ごしてたら認めちゃう事になる。
無駄だと思ってても、見付ける度に「嫌なんじゃ~!!」って騒ぐ人の方が偉いと思う。
# でもここで騒いでもなぁ…、って意見には同意しちゃうけど。
Re: (スコア:0)
>SSL通信に対してMITMとしてあれこれやるのは今更何を騒いでいるのって話だけど。その証明書はまずいな。
出来る出来ないの話をしているわけではないのですが。
Re: (スコア:0)
資料を読んでも仕組みがわかりませんでしたが
MWGのSSL scannerやGogoの件はクライアント側で回避できないのでしょうか?
Re: (スコア:0)
本当に帯域を絞るためだと思う?
プロキシでキャッシュやアクセレータをSSLにまで適用するためなんじゃないかな。
オレオレ証明書であることがブラウザの警告ですぐわかるんだから、そこまで悪質とは思えないな。
Re: (スコア:0)
オレオレ証明書は便利だけど、知らない人から来たそれをアクセプトする人ってなんなんでしょうね。
そういう人のリストが押し売りとかに使われるんだろうな。同情できないわ。
Re: (スコア:0)
いや、知らない人から来たら皆拒否するから、記事の行為に繋がったんだろ?
Google様の名を騙れば、素人は皆信用するだろ、って。
証明書の仕組みを知らない人は、Googleって書かれたら騙されてもおかしくはない。
正直に「GoGo」のドメインを前面に出した証明書にしておけば問題ないのに、
なぜ他社の名を騙ったのかって言えば、きっと自社は信頼のおけない会社だと
自負しているんだろう。自覚があるんだな。
Re:よくもまあ (スコア:1)
Gogoのサービスを使ったことが無いので予想だけど、これはGoogleだから偽造したんじゃなくて、そういう仕組みなんだと思うよ。
https://www.yahoo.com/ [yahoo.com]なら、www.yahoo.comのオレオレ証明書が付いてると思う。
飛行機内にプロキシみたいな装置があり、それがキャッシュをしているか、データを圧縮しているんだと思う。
ただ、SSLだとそれができないので、SSL通信は一旦その装置でデコードして、偽の証明書を付けてPCに流してるだけ。
いわゆるMITM攻撃と同じ手法だけど、最近のセキュリティ製品ではよく使われているよ。
Re: (スコア:0)
Googleを名乗ったからGoogleだと思うとかどんだけ素直なんだよ。
そんなんだと消防署のほうから来た人に消火器買わされるぞ?
Re: (スコア:0)
テンプレ乙
じゃあどうやって見分けるのさ
Re: (スコア:0)
信頼できる人から信頼できる方法で受け取った以外の
オレオレ証明書なんか受け入れなきゃいいでしょ。
オレオレ証明書の意味が分からない、って自分でわかってる人なら、
自分のブラウザ上に表示されてるものは改竄されてるかもしれないし
通信は盗聴れてるかもしれないってことがわかるはず。
それをわかって使う分には、見分けられなくても問題なんじゃない?
自分はブラウザにプリインストールされてる証明書も信用してないから
httpsでも常に改竄や盗聴の可能性があると思って使ってるけど。
細かいこと (スコア:0)
> 飛行中によりベストなインターネット体験を利用できるようにするため
なんか引っかかったので原文見たら、
飛行中にベストなインターネット体験を利用できるようにするため
が正しいです。
Re: (スコア:0)
モアベターよ
Re:細かいこと (スコア:1)
突っ込んでいる人は「小森のおばちゃま [google.co.jp]」でググるのがモアベターよ
Re: (スコア:0)
うんそれは正しい。
モアベストとは言わないだけ。
Re: (スコア:0)
正しい…とは?
#more betterは間違いだけど、モアベターなら「日本語として」正しいというのなら異論を唱えるつもりはない
そろそろ法制化の時期かも (スコア:0)
Re: (スコア:0)
私文書偽造の電子バージョンとしては既に私電磁的記録不正作出・供用がありますね。
Re:そろそろ法制化の時期かも (スコア:1)
普通の私文書偽造罪ならば目的関係なく「事実証明に関する文書」を偽造して行使すれば犯罪なんだけど。
Re: (スコア:0)
そもそも、オレオレ証明書では偽造と言えるかどうか怪しいのでは?
だって、ちゃんと本物じゃありませんと表示されるんだから。
Re: (スコア:0)
スクリーンショットを見る限り、発行者が「Gogo」となっているから、
本来の意味のSSL証明書偽造とは違うよね。
というか普通に自分で発行しただけだし、偽造とは呼べない。
会社のプロキシサーバでHTTPS通信を解析するために一回復号化して、
自己証明書で暗号化しなおすというのは、それなりに一般的な仕様として
存在すると思う。もしかしたら、それと同じことをしているだけなのかな?
まあ、公共のネットワークでそれやっちゃったらHTTPSの意味がないし、
擁護はできないけど。
Re: (スコア:0)
例えば裏が真っ白な一万円札を作っても通貨偽造になりうることから類推すると、
今回の件は本物でないと表示されうるにしても一見本物と誤認させうることを知った上でやってるようだし
偽造という観点からはクロじゃないかなあ
Re: (スコア:0)
「google.com じゃないサーバを google.com であると証明」する文書を作成したわけだから、
文書中の発行者の部分を改竄したからといってセーフにはならないよね。
Re: (スコア:0)
発行者(作成者)部分が実際のその文章を作成した者の名前(今回ならGogo)になっているのであれば、
その文章が「Gogoによって作成された」「そのサーバがgoogle.comであるとの証明」であることには
疑いの余地がないので、(有形)偽造の要件を満たさないはずです。
例えば、「この本は私が作ったものだが、この本によるとGoogleは私のものだ」という状況があったとして、
詐欺となる可能性はありますが、本や主張自体は本人が本人名義で作成したもので偽造されていません。
# というのは有形偽造(=名義人の嘘)の話で、おそらく#2742896さんが言ってるのは無形偽造(=内容の嘘)だと思いますが、
# 少なくとも日本の場合だと、無形偽造は診断書の偽造などのようにごく一部の特殊な事例のみに適用されるうえに、
# 権限を持つ者(診断書なら医師、今回ならGoogle自身)が虚偽記載をしたときなので、今回のようなものには関係ないです。
## 結構前に軽く調べただけなので間違ってたらごめんなさい
スクリーンショットを良く見ましょう (スコア:0)
・警告を出しているのはブラウザ(偽装された疑いがあるため)
・google.comに対するワイルドカード証明書ですべてのGoogleのサービスが対象
・発行者はGogoでブラウザに登録されていない認証局
どこの誰かも知れない人間の作った証明書なのでブラウザが警告しているのです。
そのうち自分のオレオレ認証局の証明書をブラウザに強制的にインストールさせるようにするかもしれないですね。