黑客攻擊導(dǎo)致第二間公司停止簽署數(shù)字證書(shū)
今年3月入侵Comodo憑證機(jī)構(gòu)的伊朗黑客ComodoHacker宣布,他入侵的憑證機(jī)構(gòu)包括DigiNotar、StartCom與 GlobalSign在內(nèi)。今年3月入侵Comodo憑證機(jī)構(gòu)的伊朗黑客ComodoHacker本周透過(guò)Pastebin宣布,他不但是駭進(jìn)Comodo的元兇,也入侵其他4家高 知名度的憑證機(jī)構(gòu),包括DigiNotar、StartCom與GlobalSign在內(nèi)。GlobalSign在得知此事后,已暫時(shí)停止憑證的發(fā)放,并展開(kāi)全面調(diào)查。
今年8月底,網(wǎng)絡(luò)上出現(xiàn)由DigiNotar憑證所頒發(fā)的假Google憑證,而使得此一事件曝光。調(diào)查后發(fā)現(xiàn),黑客人侵DigiNotar至少頒發(fā)了涉 及20個(gè)網(wǎng)域的500個(gè)憑證,由于假憑證數(shù)量與范圍仍不明,因此包括Google與Mozilla皆已更新旗下的產(chǎn)品,暫時(shí)停止信任由DigiNotar 所發(fā)布的所有憑證。
這些假冒的憑證波及了Google、Facebook、微軟、Yahoo、Skype、荷蘭政府網(wǎng)站,以及美/英/以色列的情報(bào)單位。
ComodoHacker表示,他入侵DigiNotar并偽造荷蘭政府機(jī)構(gòu)憑證是為了報(bào)復(fù)荷蘭政府在16年前以8000名回教徒交換30名荷蘭士兵,而 且賽爾維亞人在同一天殺害了這8000名回教徒。DigiNotar為一位于荷蘭的小型認(rèn)證機(jī)構(gòu),荷蘭政府已得知此事,并正擴(kuò)大調(diào)查中。
ComodoHacker計(jì)劃公布人侵這些憑證機(jī)構(gòu)的細(xì)節(jié),包括他如何進(jìn)入DigiNotar的第6層網(wǎng)絡(luò),如何找到密碼,如何取得系統(tǒng)權(quán)限,繞過(guò)安全機(jī) 構(gòu)與硬件鑰匙,以讓大家了解該攻擊的復(fù)雜度,而這將是一個(gè)絕佳的黑客課程。他甚至公布了進(jìn)入DigiNotar系統(tǒng)的用戶(hù)名稱(chēng)與密碼,并且留下電子郵件 賬號(hào)歡迎媒體專(zhuān)訪。
即使ComodoHacker強(qiáng)調(diào)荷蘭政府16年前的過(guò)錯(cuò),文中也未談及任何組織行動(dòng)。不過(guò),今年3月遭到Comodohacker入侵的Comodo執(zhí) 行長(zhǎng)Melih Abdulhayoglu在接受媒體訪問(wèn)時(shí),直指Comodohacker的背后有政府的支撐,而且相關(guān)攻擊將不會(huì)停止。
Google的調(diào)查顯示,近日所發(fā)現(xiàn)以假冒的DigiNotar憑證針對(duì)Google用戶(hù)所進(jìn)行的中間人(man-in-the-middle)攻擊的被 害者主要位于伊朗;趨勢(shì)科技的研究亦發(fā)現(xiàn),伊朗境內(nèi)40個(gè)不同的ISP或?qū)W校網(wǎng)絡(luò)都曾遭遇DigiNotar頒發(fā)的假憑證,同時(shí)伊朗也發(fā)生了大規(guī)模的中間 人攻擊。
趨勢(shì)科技偵測(cè)用來(lái)檢驗(yàn)DigiNotar憑證的validation.diginotar.nl網(wǎng)站流量,發(fā)現(xiàn)今年8月30日前,主要的流量都來(lái)自于荷蘭 及伊朗,由于DigiNotar為荷蘭憑證業(yè)者,因此該站大多數(shù)的流量自然以荷蘭為主,但會(huì)有大量來(lái)自伊朗的流量則令人匪夷所思,當(dāng)業(yè)者發(fā)現(xiàn) DigiNotar遭駭并采取補(bǔ)救措施后,幾乎所有來(lái)自伊朗的流量都消失了。
荷蘭資安業(yè)者Fox-IT則指出,從今年8月初到8月底之間,約有30萬(wàn)個(gè)獨(dú)立的IP地址以假冒的憑證存取google.com,其中超過(guò)99%都來(lái)自伊朗境內(nèi)。
Fox-IT亦揭露了DigiNotar的安全問(wèn)題,指出DigiNotar網(wǎng)絡(luò)多次遭駭,且黑客所使用與安裝的工具都能被標(biāo)準(zhǔn)的防病毒軟件所偵測(cè)到,代表DigiNotar明顯缺乏安全程序。
【編輯推薦】
