stringtranslate.com

Дигинотар

DigiNotar был голландским центром сертификации , принадлежавшим VASCO Data Security International, Inc. [1] [2]

Обзор

3 сентября 2011 года, после того как стало ясно, что нарушение безопасности привело к мошеннической выдаче сертификатов , правительство Нидерландов взяло на себя оперативное управление системами DigiNotar. [3] В том же месяце компания была объявлена ​​банкротом. [4] [5]

В ходе расследования взлома, проведенного консалтинговой компанией Fox-IT, назначенной правительством Нидерландов, в качестве основной цели взлома были определены 300 000 иранских пользователей Gmail (впоследствии подвергшихся атакам «человек посередине ») и возникли подозрения, что за взломом стоит иранское правительство. . [6] Хотя никому не было предъявлено обвинение во взломе и компрометации сертификатов (по состоянию на 2013 год ), криптограф Брюс Шнайер говорит, что атака могла быть «либо работой АНБ , либо использована АНБ». [7] Однако это оспаривается, а другие утверждают, что АНБ обнаружило только иностранную разведку , использующую поддельные сертификаты. [8] Заявление о взломе также было заявлено так называемым Comodohacker, предположительно 21-летним иранским студентом, который также утверждал, что взломал четыре других центра сертификации, включая Comodo . F-Secure сочла это утверждение правдоподобным , хотя не объясняя до конца, как это привело к последующему «широкомасштабному перехвату иранских граждан». [9]

После того как было обнаружено более 500 поддельных сертификатов DigiNotar, крупные производители веб-браузеров отреагировали тем, что занесли в черный список все сертификаты DigiNotar. [10] Масштаб инцидента был использован некоторыми организациями, такими как ENISA и AccessNow.org , чтобы призвать к более глубокому реформированию HTTPS , чтобы устранить возможность самого слабого звена, при котором один скомпрометированный центр сертификации может повлиять на такое количество пользователей. [11] [12]

Компания

Основная деятельность DigiNotar заключалась в качестве центра сертификации , выдающего два типа сертификатов. Сначала они выдали сертификаты под своим именем (где корневым центром сертификации был «Root CA DigiNotar»). [13] Доверительные сертификаты не выдавались с июля 2010 года, но некоторые из них были действительны до июля 2013 года. [14] [15] Во-вторых, они выдавали сертификаты для программы правительства Нидерландов PKIoverheid («PKIgovernment»). Эта выдача осуществлялась через два промежуточных сертификата, каждый из которых был связан с одним из двух корневых центров сертификации «Staat der Nederlanden». Национальные и местные органы власти и организации Нидерландов, предлагающие услуги правительству и желающие использовать сертификаты для безопасной интернет-связи, могут запросить такой сертификат. Некоторые из наиболее часто используемых электронных услуг, предлагаемых правительством Нидерландов, используют сертификаты DigiNotar. Примерами могут служить инфраструктура аутентификации DigiD и центральная организация по регистрации автомобилей Нидерланды Vehicle Authority  [nl] (RDW).

Корневые сертификаты DigiNotar были удалены из списков доверенных корней всех основных веб-браузеров и потребительских операционных систем примерно 29 августа 2011 г.; [16] [17] [18] корни «Staat der Nederlanden» изначально были сохранены, поскольку не считалось, что они были скомпрометированы. Однако с тех пор они были отменены.

История

DigiNotar был первоначально создан в 1998 году голландским нотариусом Диком Батенбургом из Бевервейка и Koninklijke Notariële Beropsorganisatie  [nl] , национальным органом голландских нотариусов по гражданскому праву . КНБ предлагает нотариусам все виды централизованных услуг, а поскольку многие из услуг, предлагаемых нотариусами, представляют собой официальные юридические процедуры, безопасность связи имеет важное значение. КНБ предлагал своим членам консультативные услуги по внедрению электронных услуг в их бизнес; одним из таких видов деятельности было предложение безопасных сертификатов.

Дик Батенбург и КНБ сформировали группу TTP Notarissen (ТТП Нотариусы), где ТТП означает доверенную третью сторону . Нотариус может стать членом TTP Notarissen, если он соблюдает определенные правила. Если они соблюдают дополнительные правила обучения и рабочих процедур, они могут стать аккредитованным нотариусом ТТП. [19]

Хотя DigiNotar уже несколько лет был центром сертификации общего назначения, он по-прежнему был ориентирован на рынок нотариусов и других специалистов.

10 января 2011 года компания была продана VASCO Data Security International. [1] В пресс-релизе VASCO от 20 июня 2011 г., через день после того, как DigiNotar впервые обнаружила инцидент в своих системах [20], президент и главный операционный директор VASCO Ян Вальке заявил: «Мы считаем, что сертификаты DigiNotar являются одними из самых надежных в поле." [21]

Банкротство

20 сентября 2011 года Vasco объявила, что ее дочерняя компания DigiNotar была признана банкротом после подачи заявления о добровольном банкротстве в суд Харлема . Сразу же после этого суд назначил управляющего – назначенного судом доверительного управляющего, который берет на себя управление всеми делами DigiNotar на протяжении всего процесса банкротства и ликвидации . [4] [22]

Отказ опубликовать отчет

Куратор (управляющий судом) не хотел, чтобы отчет ITSec был опубликован, так как это может привести к дополнительным искам к DigiNotar . [ нужна цитата ] В отчете освещались методы работы компании и подробности взлома в 2011 году, который привел к ее банкротству. [ нужна цитата ]

Отчет был подготовлен по запросу голландского надзорного агентства OPTA , которое изначально отказалось его публиковать. В ходе процедуры по обеспечению свободы информации ( Wet openbaarheid van bestuur  [nl] ), начатой ​​журналистом, получатель пытался убедить суд не разрешать публикацию этого отчета и подтвердить первоначальный отказ OPTA сделать это. [23]

Отчет было приказано опубликовать, и он был обнародован в октябре 2012 года. Он показывает практически полную компрометацию систем.

Выдача поддельных сертификатов

10 июля 2011 года злоумышленник, имеющий доступ к системам DigiNotar, выдал групповой сертификат для Google . Этот сертификат впоследствии был использован неизвестными лицами в Иране для проведения атаки «человек посередине» на сервисы Google. [24] [25] 28 августа 2011 г. проблемы с сертификатами были замечены у нескольких интернет-провайдеров в Иране. [26] Поддельный сертификат был опубликован на сайте Pastebin . [27] Согласно последующему пресс-релизу VASCO, DigiNotar обнаружила вторжение в инфраструктуру своего центра сертификации 19 июля 2011 года. [28] В то время DigiNotar публично не раскрыла нарушение безопасности.

После того, как этот сертификат был найден, DigiNotar с опозданием признал, что были созданы десятки поддельных сертификатов, включая сертификаты для доменов Yahoo! , Mozilla , WordPress и проект Tor . [29] DigiNotar не может гарантировать, что все такие сертификаты были отозваны . [30] Google занес в черный список 247 сертификатов Chromium , [31] но окончательно известное общее количество неправильно выданных сертификатов составляет не менее 531. [32] Расследование F-Secure также показало, что веб-сайт DigiNotar был взломан турецкими и иранскими хакерами в 2009 году. [33]

В ответ Mozilla отозвала доверие к корневому сертификату DigiNotar во всех поддерживаемых версиях своего браузера Firefox , а Microsoft удалила корневой сертификат DigiNotar из списка доверенных сертификатов своих браузеров во всех поддерживаемых версиях Microsoft Windows. [34] [35] Chromium / Google Chrome смог обнаружить поддельный *.google.comсертификат благодаря функции безопасности « закрепление сертификата »; [36] однако эта защита была ограничена доменами Google, в результате чего Google удалил DigiNotar из своего списка доверенных эмитентов сертификатов. [24] Opera всегда проверяет список отозванных сертификатов эмитента сертификата, поэтому они изначально заявили, что им не требуется обновление безопасности. [37] [38] Однако позже они также удалили корень из своего хранилища доверенных сертификатов. [39] 9 сентября 2011 года Apple выпустила обновление безопасности 2011-005 для Mac OS X 10.6.8 и 10.7.1, которое удаляет DigiNotar из списка доверенных корневых сертификатов и центров сертификации EV. [40] Без этого обновления Safari и Mac OS X не обнаруживают отзыв сертификата, и пользователям приходится использовать утилиту Keychain , чтобы вручную удалить сертификат. [41] Apple не обновляла iOS до 13 октября 2011 года, с выпуском iOS 5. [42]

DigiNotar также контролировала промежуточный сертификат, который использовался для выдачи сертификатов в рамках программы инфраструктуры открытых ключей правительства Нидерландов «PKIoverheid», связанной с официальным сертификационным органом правительства Нидерландов ( Staat der Nederlanden ). [43] Как только этот промежуточный сертификат был отозван или помечен браузерами как ненадежный, цепочка доверия для их сертификатов была разорвана, и стало трудно получить доступ к таким сервисам, как платформа управления идентификацией DigiD и Налоговая и таможенная администрация . [44] GOVCERT.NL  [nl] , голландская группа реагирования на компьютерные чрезвычайные ситуации , изначально не верила, что сертификаты PKIoverheid были скомпрометированы, [45] хотя специалисты по безопасности были в этом не уверены. [30] [46] Поскольку первоначально считалось, что эти сертификаты не были скомпрометированы в результате нарушения безопасности, по запросу голландских властей они были освобождены от лишения доверия [43] [47] – хотя это один из второй, активный корневой сертификат «Staat der Nederlanden - G2», был пропущен инженерами Mozilla и ему случайно не доверяли в сборке Firefox. [48] ​​Однако эта оценка была отменена после проверки, проведенной правительством Нидерландов, а контролируемые DigiNotar посредники в иерархии «Staat der Nederlanden» также были занесены в черный список Mozilla в следующем обновлении безопасности, а также другими производителями браузеров. [49] Правительство Нидерландов объявило 3 сентября 2011 г., что они перейдут на другую фирму в качестве центра сертификации. [50]

Шаги, предпринятые правительством Нидерландов

После первоначального заявления о том, что сертификаты промежуточного сертификата, контролируемого DigiNotar в иерархии PKIoverheid , не были затронуты, дальнейшее расследование, проведенное внешней стороной, консалтинговой компанией Fox-IT, также выявило доказательства хакерской активности на этих машинах. В результате 3 сентября 2011 года правительство Нидерландов решило отозвать свое предыдущее заявление о том, что все в порядке. [51] (Следователи Fox-IT назвали инцидент «Операцией «Черный тюльпан»». [52] ) В отчете Fox-IT указано, что 300 000 иранских учетных записей Gmail стали основными жертвами взлома. [6]

DigiNotar был лишь одним из доступных центров сертификации в PKIoverheid, поэтому не все сертификаты, используемые правительством Нидерландов под их корнем, были затронуты. Когда правительство Нидерландов решило, что оно потеряло доверие к DigiNotar, оно вернуло себе контроль над промежуточным сертификатом компании, чтобы обеспечить упорядоченный переход, и заменило ненадежные сертификаты новыми от одного из других поставщиков. [51] Широко используемая платформа DigiD сейчас [ когда? ] использует сертификат, выданный Getronics PinkRoccade Nederland BV [53] По данным правительства Нидерландов, DigiNotar полностью сотрудничает с ними в этих процедурах.

После снятия доверия к DigiNotar теперь [ когда? ] четыре поставщика сертификационных услуг (CSP), которые могут выдавать сертификаты в рамках иерархии PKIoverheid : [54]

  • Цифровая идентичность [55]
  • ESG или De Electronische Signatuur [56]
  • КувоВадис [57]
  • Сертификаты KPN

Все четыре компании открыли специальные службы поддержки и/или опубликовали на своих сайтах информацию о том, как организации, имеющие сертификат PKIoverheid от DigiNotar, могут запросить новый сертификат у одного из оставшихся четырех провайдеров. [55] [56] [57] [58]

Смотрите также

Рекомендации

  1. ^ ab «VASCO Data Security International, Inc. объявляет о приобретении DigiNotar BV, лидера рынка услуг доверия в Интернете в Нидерландах» (пресс-релиз). ВАСКО . 10 января 2011 года. Архивировано из оригинала 17 сентября 2011 года . Проверено 31 августа 2011 г.
  2. ^ ван дер Мейлен, Николь (июнь 2013 г.). «DigiNotar: анализ первой голландской цифровой катастрофы». Журнал стратегической безопасности . 6 (2): 46–58. дои : 10.5038/1944-0472.6.2.4 . ISSN  1944-0464.
  3. ^ Веб-сайт Govcert Информационный бюллетень об обнаружении поддельных сертификатов. Архивировано 8 октября 2011 г. в Wayback Machine . Проверено 6 сентября 2011 г.
  4. ^ ab «VASCO объявляет о банкротстве DigiNotar BV» (пресс-релиз). VASCO Data Security International. 20 сентября 2011. Архивировано из оригинала 23 сентября 2011 года . Проверено 20 сентября 2011 г.
  5. Вольф, Жозефина (21 декабря 2016 г.). «Как хак 2011 года, о котором вы никогда не слышали, изменил инфраструктуру Интернета». Сланец . ISSN  1091-2339 . Проверено 30 июня 2023 г.
  6. ^ аб Грегг Кейзер (6 сентября 2011 г.). «Хакеры шпионили за 300 000 иранцев, используя поддельный сертификат Google». Компьютерный мир . Архивировано из оригинала 2 февраля 2014 года . Проверено 24 января 2014 г.
  7. ^ «Новая утечка АНБ показывает атаки посредника на основные интернет-сервисы» . 13 сентября 2013 года. Архивировано из оригинала 20 сентября 2013 года . Проверено 14 сентября 2013 г.
  8. Раухорст, Коэн (14 сентября 2013 г.). «Нет, АНБ не стояло за взломом DigiNotar». Архивировано из оригинала 20 ноября 2013 года . Проверено 19 ноября 2013 г.
  9. ^ «Хакер Comodo берет на себя ответственность за атаку DigiNotar» . Мир ПК Австралия. 6 сентября 2011 года. Архивировано из оригинала 2 февраля 2014 года . Проверено 24 января 2014 г.
  10. Брайт, Питер (6 сентября 2011 г.). «Хакер Comodo: я тоже взломал DigiNotar; взломаны и другие центры сертификации». Арс Техника . Архивировано из оригинала 17 апреля 2012 года . Проверено 29 апреля 2019 г.
  11. ^ «Операция Черный тюльпан: Центры сертификации теряют полномочия» . www.enisa.europa.eu . Архивировано из оригинала 22 апреля 2014 года . Проверено 24 января 2014 г.
  12. ^ «Самое слабое звено в цепи: уязвимости в системе центра сертификации SSL и что с ними делать. Краткий обзор политики доступа относительно последствий взлома DigiNotar для гражданского общества и коммерческих предприятий» (PDF) . Архивировано (PDF) из оригинала 6 октября 2018 г. Проверено 20 февраля 2019 г.
  13. ^ "Overzicht actuele rootcertificaten" [Обзор текущих корневых сертификатов] (на голландском языке). Дигинотар. Архивировано из оригинала 31 августа 2011 года . Проверено 12 сентября 2011 г.
  14. ^ «Доверить в отношении Дигинотара». SSL.entrust.net. 14 сентября 2011 года. Архивировано из оригинала 2 апреля 2012 года . Проверено 1 февраля 2012 г.
  15. ^ Скриншот сертификата Diginotar цепочки Entrust.
  16. ^ «Рекомендации по безопасности Microsoft 2607712» . technet.microsoft.com . Архивировано из оригинала 10 июня 2016 года . Проверено 16 июня 2016 г.
  17. ^ «Обновленная информация о попытках атак типа «человек посередине»» . Блог Google по онлайн-безопасности . Архивировано из оригинала 10 июня 2016 года . Проверено 16 июня 2016 г.
  18. ^ «Мошеннический сертификат *.google.com» . Блог о безопасности Mozilla . Архивировано из оригинала 25 мая 2022 года . Проверено 16 июня 2016 г.
  19. Веб-сайт Diginotar на TTP Notarissen. Архивировано 31 августа 2011 года в Wayback Machine .
  20. Промежуточный отчет FOX-IT, версия 1.0. Архивировано 21 апреля 2015 г. в Wayback Machine (но до того, как какие-либо сертификаты были выданы неправильно), Timeline, стр. 13. Проверено 5 сентября 2011 г.
  21. ^ «VASCO выходит на глобальный рынок SSL-сертификатов» . МаркетВотч . 20 июня 2011 г.
  22. Пресс-релиз суда Харлема на DigiNotar. Архивировано 24 сентября 2011 г., в Wayback Machine , 20 сентября 2011 г. Проверено 27 сентября 2011 г.
  23. ^ Новостной сайт nu.nl: Получатель боится новых претензий. Архивировано 30 июня 2012 г., в Wayback Machine (голландский), 22 июня 2012 г. Посещено: 25 июня 2012 г.
  24. ^ AB Хизер Адкинс (29 августа 2011 г.). «Обновленная информация о попытках атак типа «человек посередине»». Архивировано из оригинала 13 сентября 2011 года . Проверено 30 августа 2011 г.
  25. ^ Элинор Миллс. «Поддельный сертификат Google указывает на интернет-атаку». Архивировано 8 октября 2011 г. на сайте Wayback Machine CNET , 29 августа 2011 г.
  26. Чарльз Артур (30 августа 2011 г.). «Поддельный веб-сертификат мог быть использован для нападения на иранских диссидентов». Хранитель . Архивировано из оригинала 26 августа 2017 года . Проверено 30 августа 2011 г.
  27. ^ «Мошеннический сертификат приводит к блокировке со стороны компаний-разработчиков программного обеспечения» . Heise Media UK Ltd., 30 августа 2011 г. Архивировано из оригинала 28 апреля 2012 г.
  28. ^ «DigiNotar сообщает об инциденте безопасности» . VASCO Data Security International. 30 августа 2011 года. Архивировано из оригинала 31 августа 2011 года . Проверено 1 сентября 2011 г.
  29. ^ "Mogelijk nepsoftware verspreid naast aftappen Gmail" . Группа Sanoma Media, Нидерланды. 31 августа 2011. Архивировано из оригинала 4 декабря 2011 года . Проверено 31 августа 2011 г.
  30. ^ ab "DigiNotar: сертификат сертификата ног-вальса в omloop" . IDG Нидерланды. 31 августа 2011. Архивировано из оригинала 10 февраля 2012 года . Проверено 31 августа 2011 г.
  31. Кейзер, Грегг (31 августа 2011 г.). «Хакеры могли украсть более 200 сертификатов SSL». F-безопасный. Архивировано из оригинала 3 сентября 2011 года . Проверено 1 сентября 2011 г.
  32. Маркхэм, Джервас (4 сентября 2011 г.). «Обновленный список DigiNotar CN». Архивировано из оригинала 21 октября 2011 года . Проверено 20 сентября 2011 г.
  33. Хиппонен, Микко (30 августа 2011 г.). «DigiNotar взломан Black.Spook и иранскими хакерами». Архивировано из оригинала 25 сентября 2011 года . Проверено 31 августа 2011 г.
  34. ^ «Мошеннические цифровые сертификаты могут допускать подделку» . Рекомендации Microsoft по безопасности (2607712) . Майкрософт. 29 августа 2011 года . Проверено 30 августа 2011 г.
  35. Джонатан Найтингейл (29 августа 2011 г.). «Мошеннический сертификат *.google.com». Блог о безопасности Mozilla . Мозилла . Архивировано из оригинала 21 сентября 2011 года . Проверено 30 августа 2011 г.
  36. ^ «Что означает нарушение безопасности DigiNotar для пользователей Qt» . Эксперты MeeGo . 10 сентября 2011. Архивировано из оригинала 24 марта 2012 года . Проверено 13 сентября 2011 г.
  37. ^ "Выпущена Opera 11.51" . Программное обеспечение Опера. 30 августа 2011. Архивировано из оригинала 5 октября 2011 года . Проверено 1 сентября 2011 г.
  38. Вик, Сигбьёрн (30 августа 2011 г.). «Когда центры сертификации взломаны». Программное обеспечение Опера. Архивировано из оригинала 8 октября 2011 года . Проверено 1 сентября 2011 г.
  39. ^ «Второй шаг DigiNotar: внесение корня в черный список» . Программное обеспечение Опера. 8 сентября 2011 года. Архивировано из оригинала 11 ноября 2011 года . Проверено 20 сентября 2011 г.
  40. ^ «Об обновлении безопасности 2011-005» . Яблоко. 9 сентября 2011 года. Архивировано из оригинала 25 сентября 2011 года . Проверено 9 сентября 2011 г.
  41. ^ «Пользователи Safari по-прежнему подвержены атакам с использованием поддельных сертификатов DigiNotar» . Арс Техника . 1 сентября 2011 года. Архивировано из оригинала 12 октября 2011 года . Проверено 1 сентября 2011 г.
  42. ^ «О содержании безопасности обновления программного обеспечения iOS 5» . Яблоко. 13 октября 2011. Архивировано из оригинала 5 февраля 2009 года . Проверено 13 октября 2014 г.
  43. ^ аб Джонатан Найтингейл (2 сентября 2011 г.). «Последующие действия по удалению DigiNotar». Блог о безопасности Mozilla . Архивировано из оригинала 21 сентября 2011 года . Проверено 4 сентября 2011 г.
  44. Шеллевис, Йост (30 августа 2011 г.). «Верточная сертификация Firefox DigiD больше» . Tweakers.net (на голландском языке). Архивировано из оригинала 28 сентября 2011 года . Проверено 30 августа 2011 г.
  45. ^ "Frauduleus uitgegeven beveiligingscertificaat" . 30 августа 2011. Архивировано из оригинала 6 октября 2011 года . Проверено 31 августа 2011 г.
  46. Шеллевис, Йост (31 августа 2011 г.). «Перекрытие vertrouwt blunderende ssl-autoriteit». Tweakers.net (на голландском языке). Архивировано из оригинала 28 сентября 2011 года . Проверено 31 августа 2011 г.
  47. Шеллевис, Йост (31 августа 2011 г.). «Firefox перехватил DigiD Toch на Verzoek Nederlandse». Tweakers.net (на голландском языке). Архивировано из оригинала 28 сентября 2011 года . Проверено 31 августа 2011 г.
  48. ^ «Bugzilla@Mozilla – ошибка 683449 — удалить исключения для корня Staat der Nederlanden» . Архивировано из оригинала 2 мая 2012 года . Проверено 5 сентября 2011 г.
  49. Джервас Маркхэм (3 сентября 2011 г.). «Компромисс DigiNotar». Архивировано из оригинала 25 сентября 2011 года . Проверено 3 сентября 2011 г.
  50. ^ «Безопасность веб-сайтов правительства Нидерландов под угрозой» . Радио Нидерландов по всему миру . 3 сентября 2011 года. Архивировано из оригинала 27 сентября 2011 года . Проверено 3 сентября 2011 г.
  51. ^ ab Пресс-релиз правительства Нидерландов: Overheid zegt vertrouwen in de certificaten van Diginotar op. Архивировано 17 октября 2011 г. в Wayback Machine , 3 сентября 2011 г. Проверено 5 сентября 2011 г.
  52. Шаретт, Роберт (9 сентября 2011 г.). «Нарушение центра сертификации DigiNotar привело к сбою электронного правительства в Нидерландах - IEEE Spectrum» . Spectrum.ieee.org. Архивировано из оригинала 3 февраля 2014 года . Проверено 24 января 2014 г.
  53. ^ См. сертификат по запросу учетной записи DigiD [ постоянная мертвая ссылка ] . Проверено 5 сентября 2011 г.
  54. ^ Веб-сайт Logius: Замена сертификатов. Проверено 5 сентября 2011 г.
  55. ^ ab "PKIoverheid SSL". Архивировано из оригинала 12 июля 2012 года.
  56. ^ ab Сертификаты PKIOverheids. Архивировано 10 октября 2011 г. в Wayback Machine . Проверено 5 сентября 2011 г.
  57. ^ ab Веб-сайт голландского офиса Quovadis на PKIOverheid. Архивировано 10 октября 2011 г. в Wayback Machine . Проверено 5 сентября 2011 г.
  58. ^ Веб-сайт Getronics о запросе сертификата PKIOverheid. Архивировано 10 октября 2011 г., archive.today . Проверено 5 сентября 2011 г.

дальнейшее чтение

Внешние ссылки