DigiNotar: Operation Black Tulip
Z předběžné zprávy od společnosti Fox-IT, která byla najata, aby zjistila, jakým způsobem došlo k průniku (poeticky nazvaném „Operation Black Tulip“) do společnosti DigiNotar, která je středně velkou certifikační autoritou v Holandsku a jejíž certifikáty jsou/byly umístěny v nejpoužívanějších internetových prohlížečích mezi ostatními důvěryhodnými certifikačními autoritami, vyplývají skutečnosti, kterým se ani nechce věřit.
Všechny servery této CA byly součástí jedné Windows domény a na všechny se dalo přihlásit pomocí stejného jména a hesla, které se navíc dalo poměrně snadno prolomit pomocí běžně dostupných nástrojů jako je např. Cain & Abel, který byl na těchto serverech nalezen, a který útočník nejspíš použil a získal tak heslo doménového administrátora a neomezený přístup na všechny servery v doméně.
Způsob, jakým se útočníkovi podařilo na tyto servery proniknout, není zatím znám, ale vzhledem k tomu, že webové servery této certifikační autority nebyly aktualizované, síť byla nevhodně segmentovaná, servery byly součástí jedné domény, byla použita stejná hesla, které šlo snadno prolomit, a na kritických serverech této CA se nacházel malware, který je normálně detekován antivirovými programy, který však na těchto serverech nebyl nainstalován, není se čemu divit.
Hacker, který hacknul certifikační autoritu DigiNotar, vydal několik set certifikátů, mimo jiné i pro Google, přes který většina uživatelů zahajuje své surfování po internetu. Nutno podotknout, že vydat certifikát pro falešný web nestačí, neboť útočník musí oběť na falešný web přesměrovat, ale to může udělat např. hacknutím DNS serveru a pozměněním příslušného záznamu. Uživatelé, kteří na těchto podvodných webech skončí, a zadají na nich své přihlašovací údaje, umožňují jejich provozovateli zcizit jejich identitu a získat tak přístup k jejich datům. V následující tabulce je uveden seznam pravděpodobně podvodně vydaných certifikátů.
Common Name | Number of certs issued |
CN=*.*.com | 1 |
CN=*.*.org | 1 |
CN=*.10million.org | 2 |
CN=*.JanamFadayeRahbar.com | 1 |
CN=*.RamzShekaneBozorg.com | 1 |
CN=*.SahebeDonyayeDigital.com | 1 |
CN=*.android.com | 1 |
CN=*.aol.com | 1 |
CN=*.azadegi.com | 1 |
CN=*.balatarin.com | 3 |
CN=*.comodo.com | 3 |
CN=*.digicert.com | 2 |
CN=*.globalsign.com | 7 |
CN=*.google.com | 26 |
CN=*.logmein.com | 1 |
CN=*.microsoft.com | 3 |
CN=*.mossad.gov.il | 2 |
CN=*.mozilla.org | 1 |
CN=*.skype.com | 22 |
CN=*.startssl.com | 1 |
CN=*.thawte.com | 6 |
CN=*.torproject.org | 14 |
CN=*.walla.co.il | 2 |
CN=*.windowsupdate.com | 3 |
CN=*.wordpress.com | 14 |
CN=Comodo Root CA | 20 |
CN=CyberTrust Root CA | 20 |
CN=DigiCert Root CA | 21 |
CN=Equifax Root CA | 40 |
CN=GlobalSign Root CA | 20 |
CN=Thawte Root CA | 45 |
CN=VeriSign Root CA | 21 |
CN=addons.mozilla.org | 17 |
CN=azadegi.com | 16 |
CN=friends.walla.co.il | 8 |
CN=login.live.com | 17 |
CN=login.yahoo.com | 19 |
CN=my.screenname.aol.com | 1 |
CN=secure.logmein.com | 17 |
CN=twitter.com | 19 |
CN=wordpress.com | 12 |
CN=www.10million.org | 8 |
CN=www.Equifax.com | 1 |
CN=www.balatarin.com | 16 |
CN=www.cia.gov | 25 |
CN=www.cybertrust.com | 1 |
CN=www.facebook.com | 14 |
CN=www.globalsign.com | 1 |
CN=www.google.com | 12 |
CN=www.hamdami.com | 1 |
CN=www.mossad.gov.il | 5 |
CN=www.sis.gov.uk | 10 |
CN=www.update.microsoft.com | 4 |
Již teď můžeme prohlásit, že DigiNotar jako důvěryhodná certifikační autorita prostě skončila. Je otázka, jaký bude mít tento incident dopad na společnost Vasco Data Security International, Inc., jež tuto společnost 10. ledna 2011 koupila za 10 miliónů EUR, a která je mimochodem přímým konkurentem RSA (jejíž pověst byla nedávno též pošramocena) v oblasti autentizačních předmětů (mezi její nejznámější produkty patří např. DIGIPASS).
ČERMÁK, Miroslav. DigiNotar: Operation Black Tulip. Online. Clever and Smart. 2011. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/diginotar-operation-black-tulip/. [cit. 2025-02-10].
Štítky: informační bezpečnost
K článku “DigiNotar: Operation Black Tulip” se zde nachází 4 komentáře.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Comodo hacker oznámil, že se mu podařilo kromě DigiNotar kompromitovat i další CA. Ve svém prohlášení zmínil např. i CA GlobalSign, jejíž management na vzniklou situaci zareagoval okamžitým pozastavením prodeje certifikátů a zahájením auditu ve spolupráci s Fox-IT, která v předchozích dnech provedla audit CA DigiNotar. Výsledek auditu CA GlobalSign potvrdil, že došlo pouze ke kompromitaci webového serveru, na kterém je umístěna webová prezentace společnosti, nikoliv samotné CA.
Neměly by být CA nějak certifikovány (aspoň ISO řada 27000)? Mají nějaký dozor? Nebo všichni slepě důvěřujeme běžným komerčním firmám, o jejichž bezpečnosti nevíme vlastně vůbec nic?!
#2: Ano, nad tímhle bychom se měli opravdu vážně zamyslet, více viz příspěvek Můžeme věřit certifikačním autoritám?.
Nyní již víme, jaký finanční dopad bude mít kompromitace CA DigiNotar na její mateřskou firmu Vasco, neboť ta ve svém prohlášení ze 4. října uvedla, že škody předběžně odhaduje v rozmezí 3,3 – 4,8 miliónů USD.