Jordaanse gebruikers van anonimiseringssoftware Tor zijn het doelwit van een Man-in-the-Middle-aanval (Mitm) geworden. Vorige week meldde een gebruiker in Jordanië dat hij bij het bezoeken van Torproject.org een certificaatwaarschuwing kreeg. Het certificaat was uitgegeven door een bedrijf genaamd Cyberoam. In eerste instantie dacht het Tor Project dat het om een soortgelijk incident als bij DigiNotar en Comodo ging, waarbij het bedrijf een vals certificaat voor de Tor-website had afgegeven.

Beveiligingslek
Verder onderzoek wees uit dat Cyberoam verschillende Deep Packet Inspection (DPI) apparaten maakt. De gebruiker die Tor waarschuwde zag niet alleen een vals certificaat voor Torproject.org, maar zijn gehele internetverbinding werd afgetapt. Tijdens het onderzoek ontdekten Runa Sandvik en Ben Laurie een beveiligingslek in alle Cyberoam DPI-apparaten.

Alle apparaten bleken hetzelfde CA certificaat te delen en daardoor ook dezelfde privésleutel. Het is daardoor mogelijk om slachtoffers van een Cyberoam-apparaat met een met willekeurig ander Cyberoam-apparaat af te luisteren. Het Tor Project waarschuwde het bedrijf en alle browserleveranciers om het Cyberoam CA-certificaat in te trekken.

De DPI-leverancier laat in een reactie op het eigen blog weten dat het ontdekte beveiligingslek niet bestaat. "Cyberoam’s privésleutels zijn niet te achterhalen, zelfs niet door het openen van de machine of het klonen van de hardware en software. Dit elimineert de mogelijkheid om met bestaande certificaten op het apparaat te knoeien."

Op Twitter vraagt Sand andere beveiligingsonderzoekers om mee te helpen om te laten zien dat de kwetsbaarheid wel aanwezig is.