WikiDer > DigiNotar - Википедия
Дочерняя компания публичной компании | |
Промышленность | Интернет-безопасность |
Судьба | приобретено VASCO Data Security International, Inc. в 2010; объявлен банкротом в 2011 г. |
Основан | 1998 |
Основатель | Дик Батенбург |
Несуществующий | 20 сентября 2011 г. |
Штаб-квартира | , |
Товары | Сертификаты открытого ключа |
Услуги | Центр сертификации |
Владелец | VASCO Data Security International |
Интернет сайт | www |
DigiNotar был нидерландский язык центр сертификации принадлежит VASCO Data Security International, Inc.[1] 3 сентября 2011 г., когда стало ясно, что нарушение безопасности привело к мошеннический выпуск сертификаты, то Голландское правительство взял на себя оперативное управление системами DigiNotar.[2] В том же месяце компания была объявлена банкротом.[3]
Расследование взлома, проведенное консалтинговой компанией Fox-IT, назначенной голландским правительством, выявило 300000 Иранский Gmail пользователей в качестве основной цели взлома (целью которого впоследствии было использование человек посередине атак), и подозревал, что за взломом стояло иранское правительство.[4] Пока никому не предъявлено обвинение во взломе и компрометации сертификатов (по состоянию на 2013 г.[Обновить]), криптограф Брюс Шнайер говорит, что атака могла быть "делом рук АНБ, или эксплуатируется АНБ ".[5] Однако это оспаривается, другие говорят, что АНБ обнаружило только иностранный разведка с использованием поддельных сертификатов.[6] О взломе также заявил так называемый Comodohacker, якобы 21-летний иранский студент, который также утверждал, что взломал четыре других центра сертификации, включая Комодо, жалоба признана обоснованной F-Secure, хотя и не полностью объясняя, как это привело к последующему «широкомасштабному перехвату иранских граждан».[7]
После того, как было обнаружено более 500 поддельных сертификатов DigiNotar, основные производители веб-браузеров отреагировали на это, занесли в черный список все сертификаты DigiNotar.[8] Масштаб инцидента использовался некоторыми организациями, такими какENISA и AccessNow.org призвать к более глубокой реформе HTTPS чтобы исключить вероятность того, что один скомпрометированный центр сертификации может повлиять на такое количество пользователей.[9][10]
Компания
Основным видом деятельности DigiNotar был центр сертификации, выдача сертификатов двух типов. Во-первых, они выпустили сертификаты под своим именем (где корневой ЦС был «Корневой ЦС DigiNotar»).[11] Доверить сертификаты не выдавались с июля 2010 года, но некоторые действовали до июля 2013 года.[12][13] Во-вторых, они выдавали сертификаты голландского правительства. PKIoverheid ("PKIgovernment") программа. Эта выдача осуществлялась через два промежуточных сертификата, каждый из которых был привязан к одному из двух корневых центров сертификации "Staat der Nederlanden". Национальные и местные органы власти и организации Нидерландов, предлагающие услуги правительству, желающему использовать сертификаты для безопасного интернет-соединения, могут запросить такой сертификат. Некоторые из наиболее часто используемых электронных услуг, предлагаемых правительством Нидерландов, используют сертификаты DigiNotar. Примерами были инфраструктура аутентификации DigiD и центральная регистрационная организация RDW (Dienst Wegverkeer) .
Корневые сертификаты DigiNotar были удалены из списков доверенных корневых серверов всех основных веб-браузеров и потребительских операционных систем примерно 29 августа 2011 года;[14][15][16] корни "Staat der Nederlanden" изначально были сохранены, потому что не считались уязвимыми. Однако с тех пор они были отозваны.
История
DigiNotar была основана в 1998 году голландской нотариус Дик Батенбург из Beverwijk и Koninklijke Notariële Beroepsorganisatie , национальный орган голландских нотариусы гражданского права. KNB предлагает нотариусам все виды центральных услуг, и поскольку многие из услуг, которые предлагают нотариусы, являются официальными юридическими процедурами, безопасность связи важна. KNB предлагал своим членам консультационные услуги по внедрению электронных услуг в их бизнес; одно из этих мероприятий предлагало безопасные сертификаты.
Дик Батенбург и KNB сформировали группу TTP Notarissen (TTP Notaries), где TTP означает доверенная третья сторона. Нотариус может стать членом TTP Notarissen, если он соблюдает определенные правила. Если они соблюдают дополнительные правила обучения и рабочих процедур, они могут стать аккредитованным нотариусом ТТП.[17]
Хотя DigiNotar в течение нескольких лет был центром сертификации общего назначения, они по-прежнему были ориентированы на нотариусов и других профессионалов.
10 января 2011 года компания была продана VASCO Data Security International.[1] В пресс-релизе VASCO от 20 июня 2011 года, через день после того, как DigiNotar впервые обнаружила инцидент в своих системах[18] Президент VASCO и COO Цитируется заявление Яна Валке: «Мы считаем, что сертификаты DigiNotar являются одними из самых надежных в этой области».[19]
Банкротство
20 сентября 2011 года компания Vasco объявила, что ее дочерняя компания DigiNotar была объявлена банкротом после подачи добровольное банкротство на Харлем корт. Сразу после того, как суд назначил приемник, назначенный судом попечитель, который берет на себя управление всеми делами DigiNotar в процессе банкротства, чтобы ликвидация.[3][20]
Отказ в публикации отчета
Эта секция нужны дополнительные цитаты для проверка. (Апрель 2017 г.) (Узнайте, как и когда удалить этот шаблон сообщения) |
В куратор (назначенный судом управляющий) не хотел получать отчет от ITSec будут опубликованы, так как это может привести к дополнительным претензиям к DigiNotar.[нужна цитата] В отчете были описаны методы работы компании и подробности взлома 2011 года, приведшего к ее банкротству.[нужна цитата]
Отчет составлен по запросу голландского надзорного агентства. OPTA кто отказался публиковать отчет в первую очередь. В свобода информации (Мокрый openbaarheid van bestuur ) процедуры, начатой журналистом, получатель пытался убедить суд не разрешить публикацию этого сообщения и подтвердить первоначальный отказ OPTA сделать это.[21]
Отчет был обнародован в октябре 2012 года. Он показывает практически полную компрометацию систем.
Выдача поддельных сертификатов
10 июля 2011 г. злоумышленник, имеющий доступ к системам DigiNotar, выпустил подстановочный знак свидетельство за Google. Этот сертификат впоследствии использовался неизвестными лицами в г. Иран провести атака "человек посередине" против сервисов Google.[22][23] 28 августа 2011 г. проблемы с сертификатом наблюдались на нескольких Интернет-провайдеры в Иране.[24] Поддельный сертификат был размещен на пастебин.[25] Согласно последующему выпуску новостей VASCO, DigiNotar обнаружила вторжение в инфраструктуру центра сертификации 19 июля 2011 года.[26] DigiNotar в то время публично не раскрывала нарушение безопасности.
После того, как этот сертификат был найден, DigiNotar с опозданием признал, что были созданы десятки поддельных сертификатов, включая сертификаты для доменов Yahoo!, Mozilla, WordPress и Проект Tor.[27] DigiNotar не может гарантировать, что все такие сертификаты были отозван.[28] Google занесенный в черный список 247 сертификатов в Хром,[29] но окончательное известное общее количество неправильно выданных сертификатов составляет не менее 531.[30] Расследование F-Secure Также выяснилось, что сайт DigiNotar был взломан турецкими и иранскими хакерами в 2009 году.[31]
В ответ Mozilla отозвала доверие к корневому сертификату DigiNotar во всех поддерживаемых версиях его Fire Fox браузер и Microsoft удалил корневой сертификат DigiNotar из своего списка доверенных сертификатов со своими браузерами во всех поддерживаемых выпусках Microsoft Windows.[32][33] Хром / Гугл Хром удалось обнаружить мошеннические * .google.com сертификат, в связи с его "прикрепление сертификата«функция безопасности;[34] однако эта защита была ограничена доменами Google, в результате чего Google удалил DigiNotar из своего списка надежных издателей сертификатов.[22] Опера всегда проверяет список отзыва сертификатов издателя сертификата, поэтому они изначально заявили, что не нуждаются в обновлении безопасности.[35][36] Однако позже они также удалили корень из своего хранилища доверенных сертификатов.[37] 9 сентября 2011 г. яблоко выпустил обновление безопасности 2011-005 для Mac OS X 10.6.8 и 10.7.1, что исключает DigiNotar из списка доверенных корневых сертификатов и центров сертификации EV.[38] Без этого обновления Сафари и Mac OS X не обнаруживают отзыв сертификата, и пользователи должны использовать Брелок утилита для удаления сертификата вручную.[39] Apple не обновляла iOS до 13 октября 2011 года, выпустив iOS 5.[40]
DigiNotar также контролировал промежуточный сертификат, который использовался для выдачи сертификатов как часть Голландское правительствоС инфраструктура открытого ключа Программа PKIoverheid, связанная с официальным голландским государственным органом сертификации (Staat der Nederlanden).[41] Как только этот промежуточный сертификат был отозван или помечен браузерами как ненадежный, цепь доверия их сертификаты были сломаны, и было трудно получить доступ к таким службам, как управление идентификацией Платформа DigiD и Налоговое и таможенное управление.[42] GOVCERT.NL , голландцы группа реагирования на компьютерные чрезвычайные ситуации, изначально не верил, что сертификаты PKIoverheid были скомпрометированы,[43] хотя специалисты по безопасности были не уверены.[28][44] Поскольку изначально предполагалось, что эти сертификаты не будут скомпрометированы из-за нарушения безопасности, они, по просьбе властей Нидерландов, были освобождены от отмены доверия.[41][45] - хотя один из двух, активный корневой сертификат «Staat der Nederlanden - G2», был упущен из виду инженерами Mozilla и случайно не доверял сборке Firefox.[46] Однако эта оценка была отменена после аудита, проведенного правительством Нидерландов, и контролируемые DigiNotar промежуточные звенья в иерархии «Staat der Nederlanden» также были внесены в черный список Mozilla в следующем обновлении безопасности, а также другими производителями браузеров.[47] Правительство Нидерландов объявило 3 сентября 2011 г., что они перейдут к другой фирме в качестве центра сертификации.[48]
Шаги, предпринятые правительством Нидерландов
После первоначального утверждения, что сертификаты промежуточного сертификата, контролируемого DigiNotar, в PKIoverheid иерархия не пострадала, дальнейшее расследование, проведенное внешней стороной, консалтинговой компанией Fox-IT, также показало доказательства хакерской активности на этих машинах. Следовательно, правительство Нидерландов 3 сентября 2011 г. приняло решение отозвать свое предыдущее заявление о том, что все в порядке.[49] (Следователи Fox-IT окрестили инцидент «Операцией« Черный тюльпан »».[50]В отчете Fox-IT указано, что основными жертвами взлома стали 300 000 иранских учетных записей Gmail.[4]
DigiNotar был только одним из доступных центров сертификации в PKIoverheid, поэтому не все сертификаты, используемые правительством Нидерландов в их корневом каталоге, были затронуты. Когда правительство Нидерландов решило, что они потеряли доверие к DigiNotar, оно вернуло контроль над промежуточным сертификатом компании, чтобы управлять упорядоченным переходом, и заменило ненадежные сертификаты новыми сертификатами от одного из других поставщиков.[49] Популярная сейчас платформа DigiD[когда?] использует сертификат, выданный Getronics PinkRoccade Nederland B.V.[51] По заявлению голландского правительства, DigiNotar полностью согласился с этими процедурами.
После отмены доверия к DigiNotar теперь четыре Провайдеры сертификационных услуг (CSP), который может выдавать сертификаты под PKIoverheid иерархия:[52]
Все четыре компании открыли специальные службы поддержки и / или опубликовали на своих веб-сайтах информацию о том, как организации, имеющие сертификат PKIoverheid от DigiNotar, могут запросить новый сертификат у одного из оставшихся четырех поставщиков.[53][54][55][56]
Смотрите также
- Comodo Group: спор о SSL-сертификате Ирана
- Операция Shady RAT
- PLA Unit 61398
- Stuxnet
- Индивидуальные операции доступа
Рекомендации
- ^ а б «VASCO Data Security International, Inc. объявляет о приобретении компании DigiNotar B.V., лидера рынка интернет-трастовых услуг в Нидерландах» (Пресс-релиз). ВАСКО. 10 января 2011 г. Архивировано с оригинал 17 сентября 2011 г.. Получено 31 августа, 2011.
- ^ Сайт Govcert Обнаружение мошеннических сертификатов. Проверено 6 сентября 2011 года.
- ^ а б "VASCO объявляет о банкротстве DigiNotar B.V." (Пресс-релиз). VASCO Data Security International. 20 сентября 2011 г. Архивировано с оригинал 23 сентября 2011 г.. Получено 20 сентября, 2011.
- ^ а б Грегг Кейзер (6 сентября 2011 г.). «Хакеры шпионили за 300 000 иранцами, используя поддельный сертификат Google». Computerworld. Получено 24 января, 2014.
- ^ «Новая утечка АНБ демонстрирует атаки типа« злоумышленник по центру »на основные интернет-службы». 13 сентября 2013 г.. Получено 14 сентября, 2013.
- ^ Rouwhorst, Коэн (14 сентября 2013 г.). «Нет, за взломом DigiNotar стояло не АНБ». Получено 19 ноября, 2013.
- ^ «Хакер Comodo заявляет о своей ответственности за атаку DigiNotar». Компьютерный мир Австралии. 6 сентября 2011 г.. Получено 24 января, 2014.
- ^ Брайт, Питер (6 сентября 2011 г.). "Хакер Comodo: я тоже взломал DigiNotar; взломаны другие ЦС". Ars Technica.
- ^ https://www.enisa.europa.eu/media/news-items/operation-black-tulip
- ^ «Самое слабое звено в цепи: уязвимости в системе центра сертификации SSL и что с ними делать. Краткое описание политики доступа относительно последствий взлома DigiNotar для гражданского общества и коммерческих предприятий» (PDF).
- ^ "Overzicht actuele rootcertificaten" [Обзор текущих корневых сертификатов] (на голландском языке). DigiNotar. Архивировано из оригинал 31 августа 2011 г.. Получено 12 сентября, 2011.
- ^ «Доверие к Diginotar». Ssl.entrust.net. 14 сентября 2011 г. Архивировано с оригинал 2 апреля 2012 г.. Получено 1 февраля, 2012.
- ^ Скрин сертификата Diginotar в сети Entrust
- ^ «Рекомендации по безопасности Microsoft 2607712». technet.microsoft.com. Получено 16 июня, 2016.
- ^ «Обновленная информация о попытках атак типа« злоумышленник посередине »». Блог Google Online Security. Получено 16 июня, 2016.
- ^ "Поддельный сертификат * .google.com". Блог о безопасности Mozilla. Получено 16 июня, 2016.
- ^ Сайт Diginotar включен TTP Notarissen В архиве 31 августа 2011 г. Wayback Machine.
- ^ Промежуточный отчет FOX-IT, v1.0 (но до того, как какие-либо сертификаты были выданы неверно), Timeline, page 13. Проверено 5 сентября 2011 г.
- ^ «VASCO выходит на мировой рынок SSL-сертификатов». MarketWatch. 20 июня 2011 г.
- ^ Пресс-релиз суда Харлема на DigiNotar, 20 сентября 2011 г. Проверено 27 сентября 2011 г.
- ^ Newssite nu.nl: Получатель боится новых претензий (Голландский), 22 июня 2012 г. Посещено: 25 июня 2012 г.
- ^ а б Хизер Адкинс (29 августа 2011 г.). «Обновленная информация о попытках атак типа« злоумышленник посередине »». Google. Получено 30 августа, 2011.
- ^ Элинор Миллс. «Поддельный сертификат Google указывает на интернет-атаку». CNET, 8/29/2011.
- ^ Чарльз Артур (30 августа 2011 г.). «Поддельный веб-сертификат мог быть использован для нападения на иранских диссидентов». Хранитель. Получено 30 августа, 2011.
- ^ «Поддельный сертификат вызывает блокировку от софтверных компаний». Heise Media UK Ltd. 30 августа 2011 г. Архивировано с оригинал 28 апреля 2012 г.
- ^ «DigiNotar сообщает об инциденте с безопасностью». VASCO Data Security International. 30 августа 2011 г. Архивировано с оригинал 31 августа 2011 г.. Получено 1 сентября, 2011.
- ^ "Mogelijk nepsoftware verspreid naast aftappen Gmail". Sanoma Media, Нидерланды. 31 августа 2011 г.
- ^ а б "DigiNotar: сертификат" могелийк ног вальс в omloop ". IDG Nederland. 31 августа 2011 г.
- ^ Кейзер, Грегг (31 августа 2011 г.). «Хакеры могли украсть более 200 сертификатов SSL». F-Secure.
- ^ Маркхэм, Джервейс (4 сентября 2011 г.). «Обновленный список DigiNotar CN».
- ^ Хиппонен, Микко (30 августа 2011 г.). «DigiNotar взломан Black.Spook и иранскими хакерами».
- ^ «Поддельные цифровые сертификаты могут позволить спуфинг». Рекомендации Microsoft по безопасности (2607712). Microsoft. 29 августа 2011 г.. Получено 30 августа, 2011.
- ^ Джонатан Найтингейл (29 августа 2011 г.). "Поддельный сертификат * .google.com". Блог о безопасности Mozilla. Mozilla. Получено 30 августа, 2011.
- ^ "Что означает нарушение безопасности DigiNotar для пользователей Qt". MeeGo Эксперты. 10 сентября 2011 г. Архивировано с оригинал 24 марта 2012 г.. Получено 13 сентября, 2011.
- ^ «Выпущена Opera 11.51». Программное обеспечение Opera. 30 августа 2011 г.
- ^ Вик, Сигбьёрн (30 августа 2011 г.). «Когда центры сертификации взломаны». Программное обеспечение Opera.
- ^ «Второй шаг DigiNotar: занесение корневого каталога в черный список». Программное обеспечение Opera. 8 сентября 2011 г.
- ^ «Об обновлении безопасности 2011-005». Яблоко. 9 сентября 2011 г.. Получено 9 сентября, 2011.
- ^ «Пользователи Safari по-прежнему уязвимы для атак с использованием поддельных сертификатов DigiNotar». Ars Technica. 1 сентября 2011 г.. Получено 1 сентября, 2011.
- ^ «О безопасности обновления программного обеспечения iOS 5». Яблоко. 13 октября 2011 г.. Получено 13 октября, 2014.
- ^ а б Джонатан Найтингейл (2 сентября 2011 г.). "Последующие действия по удалению DigiNotar". Блог о безопасности Mozilla. Получено 4 сентября, 2011.
- ^ Schellevis, Joost (30 августа 2011 г.). "Сертификат Firefox vertrouwt в DigiD niet meer". Tweakers.net (на голландском).
- ^ "Frauduleus uitgegeven beveiligingscertificaat". 30 августа 2011 г.
- ^ Schellevis, Joost (31 августа 2011 г.). "Overheid vertrouwt blunderende ssl-autoriteit". Tweakers.net (на голландском).
- ^ Schellevis, Joost (31 августа 2011 г.). "Firefox vertrouwt DigiD toch na verzoek Nederlandse overheid". Tweakers.net (на голландском).
- ^ "Bugzilla @ Mozilla - Ошибка 683449 - Удаление исключений для корневого каталога Staat der Nederlanden". Получено 5 сентября, 2011.
- ^ Жерваз Маркхэм (3 сентября 2011 г.). «DigiNotar Compromise». Получено 3 сентября, 2011.
- ^ «Безопасность правительственных сайтов Нидерландов под угрозой». Радио Нидерландов во всем мире. 3 сентября 2011 г. Архивировано с оригинал 27 сентября 2011 г.. Получено 3 сентября, 2011.
- ^ а б Новости правительства Нидерландов: Overheid zegt vertrouwen in de certificaten van Diginotar op В архиве 17 октября 2011 г. Wayback Machine, 3 сентября 2011 г. Проверено 5 сентября 2011 г.
- ^ Шарет, Роберт (9 сентября 2011 г.). «Нарушение центра сертификации DigiNotar приводит к сбою электронного правительства в Нидерландах - IEEE Spectrum». Spectrum.ieee.org. Получено 24 января, 2014.
- ^ См. Сертификат на Запросить счет DigiD[постоянная мертвая ссылка]. Проверено 5 сентября 2011 года.
- ^ Сайт Logius:Замена сертификатов. Проверено 5 сентября 2011 года.
- ^ а б «PKIoverheid SSL». Архивировано из оригинал 12 июля 2012 г.
- ^ а б Сертификаты PKIOverheids В архиве 10 октября 2011 г. Wayback Machine. Проверено 5 сентября 2011 года.
- ^ а б Веб-сайт голландского офиса Quovadis на PKIOverheid. Проверено 5 сентября 2011 года.
- ^ Сайт Getronics на Запрос сертификата PKIOverheid В архиве 10 октября 2011 г., в Archive.today. Проверено 5 сентября 2011 года.
дальнейшее чтение
- Fox-IT (август 2012 г.). Black Tulip: Отчет о расследовании нарушения работы центра сертификации DigiNotar.
внешняя ссылка
- Официальный веб-сайт (Англ., Не говоря уже о банкротстве)
- Официальный веб-сайт (Голландский, упоминание о банкротстве)
- Поддельные сертификаты - список общеупотребительных имен
- DigiNotar сообщает об инциденте безопасности
- Pastebin сообщения:
- Рекомендации по безопасности Mozilla Foundation 2011-34: Защита от мошеннических сертификатов DigiNotar
- Рекомендации Microsoft по безопасности (2607712): поддельные цифровые сертификаты могут позволить спуфинг
- Компромисс DigiNotar - Mozillaс Жерваз Маркхэмрассказ о том, как и почему Mozilla занесла DigiNotar в черный список.
- Джонатан Найтингейл (2 сентября 2011 г.). "Последующие действия по удалению DigiNotar". Блог о безопасности Mozilla. Получено 4 сентября, 2011. Отчет директора отдела разработки Firefox в Mozilla Corporation о том, почему удаление DigiNotar Mozilla из списка доверенных является не временной приостановкой, а полным отказом от доверия.
- видео на YouTube от Fox-IT, показывая последующие OSCP запросы иранских пользователей сертификатов DigiNotar (вероятные атаки).