Разработчики проекта Tor обнаружили фальшивый сертификат *.torproject.org, выданный американской компанией Cyberoam. Сертификат сгенерирован с целью обмана пользователей, которые хотят установить защищённое соединение с сайтом *.torproject.org, в то время как на самом деле канал связи открыт для издателей сертификата. Образец фальшивого сертификата прислал пользователь из Иордании. Спрашивается, зачем компании Cyberoam понадобилось генерировать такой сертификат, и что это вообще за компания? Ответ известен: фирма Cyberoam занимается разработкой и продажей программно-аппаратных комплексов для глубокой инспекции пакетов (deep packet inspection, DPI) или, проще говоря, систем массового слежения за пользователями интернета. Подобный софт обычно устанавливают на магистральных каналах связи, чтобы анализировать интернет-трафик тысяч пользователей. Представители проекта Tor обнаружили, что фальшивый сертификат принимается всеми версиями устройств Cyberoam. Компания-производитель уведомлена об «уязвимости» 30 июня, ей также сообщили, что данная информация будет опубликована в открытом доступе 3 июля, что представители Tor Project и сделали вчера. На первый взгляд может показать, что инцидент с сертификатом *.torproject.org аналогичен случаям с фальшивыми сертификатами Comodo и DigiNotar, когда неизвестные злоумышленники смогли взломать сертификатора и выдать от его имени сертификат. Но представители Tor считают, что в данном случае ситуация иная: самим пользователям не предъявлялись фальшивые сертификаты, они использовались исключительно системой DPI для перехвата соединения. В ходе исследования проблемы специалисты Tor также обнаружили, что все сертификаты на всех устройствах Cyberoam DPI генерируются с помощью одного и того же секретного ключа. Таким образом, владелец любого устройства Cyberoam может изучать трафик в любой другой сети, где установлено устройство Cyberoam. Дата: 04.07.2012 http://www.xakep.ru/post/58941/
уж не сильно верится что сам тор является задумкой ТРУ альтруистов и демократов, а не продуктом штатовской спецслужбы (ну да кстати изначально это продукт ВМС США). Кому выгодно организовать периферийные сервера по всему свету чтобы пользователь мог анонимно что-то делать? Они чо деньги за это берут? рекламу показывают? Откуда такая щедрость? Никогда не верил это хрени. Хакнутому VPN и то больше доверия.