荷兰 CA 提供商 DigiNotar 服务器遭黑客渗透事件调查结束

去年八月,荷兰 CA 安全证书提供商 DigiNotar 的服务器被发现遭黑客入侵。黑客为包括  Google.com 在内的 531 个网站发行了伪造的 CA 证书。目前调查已经结束。现证实,DigiNotar 的所有八台证书服务器均遭入侵。

DigiNotar 在去年7月19日发现了入侵,但直到8月份外界才知道入侵事件。

去年八月,在 Gmail 帮助论坛和 Bugzilla,Gmail 用户报告发现了荷兰机构 DigiNotar发行的 CA 证书,发行时间是2011年7月10日。证书本身是有效的,因此可被利用发动中间人攻击,将用户流量流经其它路由。此次攻击与年初发生的伪造 Comodo CA 证书如出一辙。伊朗政府被怀疑利用伪造但有效的 CA 证书对伊朗 Gmail 用户发动中间人攻击

DigiNotar 的母公司 Vasco 发表声明承认遭黑客入侵。Vasco 称,DigiNotar 是在7月19日检测到 CA 基础系统遭入侵。此后,DigiNotar 立即按照既定规则采取行动,立即撤销所有伪造证书。但最近的事件显示,至少有一个伪造证书在当时没被撤销。该公司表示将采取一切可能的预防措施确保 CA 安全,并暂停 CA 证书销售。Google 和 Mozilla 都分别为 ChromeFirefox 发布补丁移除了 DigiNotar root CA,微软也为 Windows XP、Windows Server 2003、Windows Vista、Server 2008、Windows 7 和 Server 2008 R2发布补丁,将其列入不信任 CA 名单。

受雇调查 DigiNotar 入侵事件的安全公司 Fox-IT 公布了初步调查报告,认为攻击源头是伊朗。攻击者共发行了 531 个伪造证书(xlsx 格式清单),包括了 Google、微软、雅虎、Twitter、Facebook、WordPress.com、Torproject、中情局、军情六处和摩萨德等。发行时间是在7月10日到20日之间。

Fox-IT 报告称,DigiNotar 在7月19日注意到了入侵,但似乎未采取任何行动。它还发现,所有的证书服务器都属于一个Windows 域,因此只要一个管理帐号就能控制一切;管理帐号使用了弱密码,容易被暴力破解;攻击者使用的恶意程序和软件可以被现有的杀毒软件探测到;而服务器上运行的软件多过期和未打上补丁。

Fox-IT 分析了 DigiNotar OCSP 服务器查询记录,发现攻击期间 99% 的查询都来自伊朗(视频)。浏览器通过查询 OCSP 服务器核查证书是否被撤销,这一证据可以确认伪造证书是被伊朗政府或 ISP 用于监视用户通信。

DigiNotar 因为这次攻击而失去信任并宣告破产

现在,关于此次攻击的调查报告(PDF)已正式递交到荷兰政府。

调查显示攻击比预想的要严重得多:DigiNotar 的所有八台证书服务器全部遭到入侵,由于访问日志全部保存在相同的服务器上,黑客入侵后清理和伪造了入侵痕迹,因此日志无法提供有关入侵的证据和线索。调查还发现一系列没有使用的 CA 证书,目前还不清楚这些证书有没有被使用过。©

本文发表于水景一页。永久链接:<https://cnzhx.net/blog/diginotar-ca-servers-been-compromised/>。转载请保留此信息及相应链接。

雁过留声,人过留名

您的电子邮箱地址不会被公开。 必填项已用 * 标注

特别提示:与当前文章主题无关的讨论相关但需要较多讨论求助信息请发布到水景一页讨论区的相应版块,谢谢您的理解与合作!请参考本站互助指南
您可以在评论中使用如下的 HTML 标记来辅助表达: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>