DigiNotar: Operation Black Tulip

Z předběžné zprávy od společnosti Fox-IT, která byla najata, aby zjistila, jakým způsobem došlo k průniku (poeticky nazvaném „Operation Black Tulip“) do společnosti DigiNotar, která je středně velkou certifikační autoritou v Holandsku a jejíž certifikáty jsou/byly umístěny v nejpoužívanějších internetových prohlížečích mezi ostatními důvěryhodnými certifikačními autoritami, vyplývají skutečnosti, kterým se ani nechce věřit.

Všechny servery této CA byly součástí jedné Windows domény a na všechny se dalo přihlásit pomocí stejného jména a hesla, které se navíc dalo poměrně snadno prolomit pomocí běžně dostupných nástrojů jako je např. Cain & Abel, který byl na těchto serverech nalezen, a který útočník nejspíš použil a získal tak heslo doménového administrátora a neomezený přístup na všechny servery v doméně.

Způsob, jakým se útočníkovi podařilo na tyto servery proniknout, není zatím znám, ale vzhledem k tomu, že webové servery této certifikační autority nebyly aktualizované, síť byla nevhodně segmentovaná, servery byly součástí jedné domény, byla použita stejná hesla, které šlo snadno prolomit, a na kritických serverech této CA se nacházel malware, který je normálně detekován antivirovými programy, který však na těchto serverech nebyl nainstalován, není se čemu divit.

Hacker, který hacknul certifikační autoritu DigiNotar, vydal několik set certifikátů, mimo jiné i pro Google, přes který většina uživatelů zahajuje své surfování po internetu. Nutno podotknout, že vydat certifikát pro falešný web nestačí, neboť útočník musí oběť na falešný web přesměrovat, ale to může udělat např. hacknutím DNS serveru a pozměněním příslušného záznamu. Uživatelé, kteří na těchto podvodných webech skončí, a zadají na nich své přihlašovací údaje, umožňují jejich provozovateli zcizit jejich identitu a získat tak přístup k jejich datům. V následující tabulce je uveden seznam pravděpodobně podvodně vydaných certifikátů.

Common Name Number of certs issued
CN=*.*.com 1
CN=*.*.org 1
CN=*.10million.org 2
CN=*.JanamFadayeRahbar.com 1
CN=*.RamzShekaneBozorg.com 1
CN=*.SahebeDonyayeDigital.com 1
CN=*.android.com 1
CN=*.aol.com 1
CN=*.azadegi.com 1
CN=*.balatarin.com 3
CN=*.comodo.com 3
CN=*.digicert.com 2
CN=*.globalsign.com 7
CN=*.google.com 26
CN=*.logmein.com 1
CN=*.microsoft.com 3
CN=*.mossad.gov.il 2
CN=*.mozilla.org 1
CN=*.skype.com 22
CN=*.startssl.com 1
CN=*.thawte.com 6
CN=*.torproject.org 14
CN=*.walla.co.il 2
CN=*.windowsupdate.com 3
CN=*.wordpress.com 14
CN=Comodo Root CA 20
CN=CyberTrust Root CA 20
CN=DigiCert Root CA 21
CN=Equifax Root CA 40
CN=GlobalSign Root CA 20
CN=Thawte Root CA 45
CN=VeriSign Root CA 21
CN=addons.mozilla.org 17
CN=azadegi.com 16
CN=friends.walla.co.il 8
CN=login.live.com 17
CN=login.yahoo.com 19
CN=my.screenname.aol.com 1
CN=secure.logmein.com 17
CN=twitter.com 19
CN=wordpress.com 12
CN=www.10million.org 8
CN=www.Equifax.com 1
CN=www.balatarin.com 16
CN=www.cia.gov 25
CN=www.cybertrust.com 1
CN=www.facebook.com 14
CN=www.globalsign.com 1
CN=www.google.com 12
CN=www.hamdami.com 1
CN=www.mossad.gov.il 5
CN=www.sis.gov.uk 10
CN=www.update.microsoft.com 4

Již teď můžeme prohlásit, že DigiNotar jako důvěryhodná certifikační autorita prostě skončila. Je otázka, jaký bude mít tento incident dopad na společnost Vasco Data Security International, Inc., jež tuto společnost 10. ledna 2011 koupila za 10 miliónů EUR, a která je mimochodem přímým konkurentem RSA (jejíž pověst byla nedávno též pošramocena) v oblasti autentizačních předmětů (mezi její nejznámější produkty patří např. DIGIPASS).


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:

  1. admin

    Comodo hacker oznámil, že se mu podařilo kromě DigiNotar kompromitovat i další CA. Ve svém prohlášení zmínil např. i CA GlobalSign, jejíž management na vzniklou situaci zareagoval okamžitým pozastavením prodeje certifikátů a zahájením auditu ve spolupráci s Fox-IT, která v předchozích dnech provedla audit CA DigiNotar. Výsledek auditu CA GlobalSign potvrdil, že došlo pouze ke kompromitaci webového serveru, na kterém je umístěna webová prezentace společnosti, nikoliv samotné CA.

  2. Harry

    Neměly by být CA nějak certifikovány (aspoň ISO řada 27000)? Mají nějaký dozor? Nebo všichni slepě důvěřujeme běžným komerčním firmám, o jejichž bezpečnosti nevíme vlastně vůbec nic?!

  3. admin

    #2: Ano, nad tímhle bychom se měli opravdu vážně zamyslet, více viz příspěvek Můžeme věřit certifikačním autoritám?.

  4. admin

    Nyní již víme, jaký finanční dopad bude mít kompromitace CA DigiNotar na její mateřskou firmu Vasco, neboť ta ve svém prohlášení ze 4. října uvedla, že škody předběžně odhaduje v rozmezí 3,3 – 4,8 miliónů USD.


K článku “DigiNotar: Operation Black Tulip” se zde nachází 4 komentáře.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: