Internetanvändare från Iran var det troliga målet enligt Trend Micro.

Enligt Mozilla är antalet certifikat som stulits från det nederländska säkerhetsföretaget Diginotar nu uppe i 531 stycken. Enligt företaget ska också flera underrättelsetjänster världen över ha drabbats av stölden, däribland Mossad, CIA och MI6.

Det certifikat som stulits används för skyddade secure socket layer (ssl)-förbindelser och ska hindra tredjepart från att läsa trafik mellan exempelvis en webbläsare och en server. Googles mejltjänst Gmail är ett exempel på en sajt som utnyttjar detta skydd. Certifikaten utfärds av speciella aktörer, exempelvis Diginotar, som också ser till att dessa är autentiska.

Tidiga spekulationer har gjort gällande att Iran ska ha varit målet för de certifikat som stals från Diginotar. I ett blogginlägg visar nu också Trend Micro hur trafiken för de hämtade certifikaten sett ut och varför det enligt it-säkerhetsföretaget är alldeles säkert att användare i Iran var måltavlor för stölden.

Bevisen bygger på statistik från it-säkerhetsföretagets datainsamlande nätverk Smart Protection Network, uppger Trend Micros it-säkerhetsforskare Feike Hacquebord, som studerat anropen till valideringsdomänen validation.diginotarl.nl.

Domänen används för att kontrollera att ssl-certifikaten är äkta. I trafiken syns dock ett märkligt trafikmönster från de senaste veckorna. Validation.diginotarl.nl var i huvudsak trafikerad av holländska och iranska användare fram till den 30 augusti 2011, uppger han.

Eftersom Diginotar är en holländsk utfärdare med kunder huvudsakligen i Nederländerna är det rimligt att förvänta sig att trafiken i princip enbart består av holländska internetanvädnare och inte en stor andel iranier, menar han.

Baserat på analyser av trafiken som insamlats från datanätverket kan vi se att en betydande andel av internetanvändarna som hämtade ssl-certifikat från Diginotar kom från Iran den 28 augusti 2011 (bild ovan), skriver Feike Hacquebord.

Den 30 augusti 2011 ser trafiken dock helt annorlunda ut (bild ovan). I princip all trafik från Iran har upphört och majoriteten av certifikat-anropen kommer från holländska användare, precis som väntat.

Dessa statistiksammanställningar är en tydlig indikator på att Iranska internetanvändare var utsatta för en man-in-the-middle-attack från tredjepart, uppger Feike Hacquebord. Denna tredjepart hade därmed sannolikt möjlighet att läsa all mejlkommunikation som iranska användare skickat via exempelvis Gmail, avslutar han.