Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

DigiNotar BV
ТипДочерняя компания публичной компании
ПромышленностьИнтернет-безопасность
Основан1998 г. ( 1998 )
ОсновательДик Батенбург
Несуществующий20 сентября 2011 г. ( 2011-09-20 )
Судьбаприобретена VASCO Data Security International, Inc. в 2010 году; объявлен банкротом в 2011 году
Штаб-квартира
Beverwijk
,
Нидерланды
ПродуктыСертификаты открытого ключа
УслугиЦентр сертификации
ВладелецVASCO Data Security International
Веб-сайтwww .diginotar .nl

DigiNotar - голландский центр сертификации, принадлежащий VASCO Data Security International, Inc. [1] [2] 3 сентября 2011 года, когда стало ясно, что нарушение безопасности привело к мошеннической выдаче сертификатов , правительство Нидерландов взяло на себя управление оперативное управление системами DigiNotar. [3] В том же месяце компания была объявлена ​​банкротом. [4]

Расследование взлома, проведенное консалтинговой компанией Fox-IT, назначенной голландским правительством, определило 300000 иранских пользователей Gmail в качестве основной цели взлома (впоследствии нацеленного на использование атак типа «злоумышленник в середине» ) и подозревало, что за взломом стояло правительство Ирана . [5] Хотя никому не было предъявлено обвинение во взломе и компрометации сертификатов (по состоянию на 2013 год ), криптограф Брюс Шнайер говорит, что атака могла быть «либо работой АНБ , либо использованной АНБ». [6] Однако это оспаривается, поскольку другие утверждают, что АНБ обнаружило службу внешней разведки только с помощью фальшивых сертификатов.[7] Взлом был также заявлен так называемым Comodohacker, предположительно 21-летним иранским студентом, который также утверждал, что взломал четыре других центра сертификации, включая Comodo , F-Secure сочла это утверждение правдоподобным, хотя не полностью объясняя, как это привело к последующему «широкомасштабному перехвату иранских граждан». [8]

После того, как было обнаружено более 500 поддельных сертификатов DigiNotar, основные производители веб-браузеров отреагировали на это, занесли в черный список все сертификаты DigiNotar. [9] Масштаб инцидента использовался некоторыми организациями, такими как ENISA и AccessNow.org, чтобы призвать к более глубокой реформе HTTPS , чтобы исключить возможность самого слабого звена, что один скомпрометированный CA может повлиять на такое количество пользователей. [10] [11]

Компания [ править ]

Основным видом деятельности DigiNotar был центр сертификации , выдающий два типа сертификатов. Во-первых, они выпустили сертификаты под своим именем (где корневой ЦС был «Корневой ЦС DigiNotar»). [12] Доверенные сертификаты не выдавались с июля 2010 года, но некоторые из них действовали до июля 2013 года. [13] [14] Во-вторых, они выдавали сертификаты для PKIoverheid голландского правительства.("PKIgovernment") программа. Эта выдача осуществлялась через два промежуточных сертификата, каждый из которых был привязан к одному из двух корневых центров сертификации "Staat der Nederlanden". Национальные и местные органы власти и организации Нидерландов, предлагающие услуги правительству, желающему использовать сертификаты для безопасного Интернет-соединения, могут запросить такой сертификат. Некоторые из наиболее часто используемых электронных услуг, предлагаемых правительством Нидерландов, используют сертификаты DigiNotar. Примерами были инфраструктура аутентификации DigiD и центральная регистрационная организация автомобилей RDW (Dienst Wegverkeer)  [ nl ] .

Корневые сертификаты DigiNotar были удалены из списков доверенных корневых серверов всех основных веб-браузеров и потребительских операционных систем примерно 29 августа 2011 года; [15] [16] [17] корни "Staat der Nederlanden" изначально были сохранены, потому что не считались нарушенными. Однако с тех пор они были отозваны.

История [ править ]

DigiNotar была основана в 1998 году голландским нотариусом Диком Батенбургом из Бевервейка и Koninklijke Notariële Beroepsorganisatie  [ nl ] , национальным органом голландских нотариусов по гражданскому праву . KNB предлагает нотариусам все виды центральных услуг, и поскольку многие из услуг, которые предлагают нотариусы, являются официальными юридическими процедурами, безопасность связи важна. KNB предлагал своим членам консультационные услуги по внедрению электронных услуг в их бизнес; одно из этих мероприятий предлагало безопасные сертификаты.

Дик Батенбург и KNB сформировали группу TTP Notarissen (TTP Notaries), где TTP означает надежную третью сторону . Нотариус может стать членом TTP Notarissen при соблюдении определенных правил. Если они соблюдают дополнительные правила обучения и рабочих процедур, они могут стать аккредитованным нотариусом ТТП. [18]

Хотя DigiNotar в течение нескольких лет был центром сертификации общего назначения, они по-прежнему были ориентированы на нотариусов и других профессионалов.

10 января 2011 года компания была продана VASCO Data Security International. [1] В пресс-релизе VASCO от 20 июня 2011 года, через день после того, как DigiNotar впервые обнаружил инцидент в своих системах [19] , президент VASCO и главный операционный директор Ян Валке заявил: «Мы считаем, что сертификаты DigiNotar являются одними из самых надежных в мире. поле." [20]

Банкротство [ править ]

20 сентября 2011 года компания Vasco объявила, что ее дочерняя компания DigiNotar была объявлена ​​банкротом после подачи заявления о добровольном банкротстве в суде Харлема . Сразу после этого суд назначил управляющего , назначенного судом попечителя, который берет на себя управление всеми делами DigiNotar в процессе ее банкротства до ликвидации . [4] [21]

Отказ в публикации отчета [ править ]

Куратор (назначенный суд приемник) не хотел, чтобы отчет ITSEC будет опубликован, так как это может привести к дополнительным требованиям по отношению к DigiNotar. [ необходима цитата ] В отчете описывались методы работы компании и подробности взлома 2011 года, который привел к ее банкротству. [ необходима цитата ]

Отчет был составлен по запросу голландского надзорного агентства OPTA, которое в первую очередь отказалось опубликовать отчет. В рамках процедуры свободы информации ( Wet openbaarheid van bestuur  [ nl ] ), начатой ​​журналистом, получатель пытался убедить суд не разрешать публикацию этого отчета и подтвердить первоначальный отказ OPTA сделать это. [22]

Отчет был обнародован в октябре 2012 года. Он показывает почти полную компрометацию систем.

Выдача поддельных сертификатов [ править ]

10 июля 2011 г. злоумышленник, имеющий доступ к системам DigiNotar, выпустил подстановочный сертификат для Google . Впоследствии этот сертификат был использован неизвестными в Иране для проведения атаки типа « злоумышленник в середине» на сервисы Google. [23] [24] 28 августа 2011 г. проблемы с сертификатами наблюдались у нескольких интернет-провайдеров в Иране. [25] Поддельный сертификат был размещен на pastebin . [26] Согласно последующему выпуску новостей VASCO, DigiNotar обнаружила вторжение в инфраструктуру центра сертификации 19 июля 2011 года. [27]DigiNotar в то время публично не раскрывала нарушение безопасности.

После того, как этот сертификат был найден, DigiNotar с опозданием признала, что были созданы десятки поддельных сертификатов, включая сертификаты для доменов Yahoo! , Mozilla , WordPress и проект Tor . [28] DigiNotar не может гарантировать, что все такие сертификаты были отозваны . [29] Google внес в черный список 247 сертификатов в Chromium , [30] но окончательное известное общее количество неправильно выданных сертификатов составляет не менее 531. [31] Расследование F-Secure также показало, что сайт DigiNotar был поврежден турецкими и иранскими хакерами в 2009 году.[32]

В ответ Mozilla отозвала доверие к корневому сертификату DigiNotar во всех поддерживаемых версиях своего браузера Firefox, а Microsoft удалила корневой сертификат DigiNotar из своего списка доверенных сертификатов своих браузеров во всех поддерживаемых выпусках Microsoft Windows. [33] [34] Chromium / Google Chrome смог обнаружить поддельный сертификат * .google.com благодаря функции безопасности « закрепления сертификата »; [35] однако эта защита была ограничена доменами Google, в результате чего Google удалил DigiNotar из списка доверенных эмитентов сертификатов. [23] Операвсегда проверяет список отзыва сертификатов издателя сертификата, поэтому они изначально заявили, что не нуждаются в обновлении безопасности. [36] [37] Однако позже они также удалили корень из своего хранилища доверенных сертификатов. [38] 9 сентября 2011 г. Apple выпустила Обновление безопасности 2011-005 для Mac OS X 10.6.8 и 10.7.1, которое удаляет DigiNotar из списка доверенных корневых сертификатов и центров сертификации EV. [39] Без этого обновления Safari и Mac OS X не обнаруживают отзыв сертификата, и пользователи должны использовать служебную программу Keychain, чтобы вручную удалить сертификат. [40]Apple не обновляла iOS до 13 октября 2011 года, выпустив iOS 5. [41]

DigiNotar также контролировал промежуточный сертификат , который был использован для выдачи сертификатов в рамках голландского правительства «s инфраструктуры открытого ключа программы„PKIoverheid“, цепочки до официального голландского правительства сертификации ( Staat дер Nederlanden ). [42] После того, как этот промежуточный сертификат был отозван или помечен браузерами как ненадежный, цепочка доверия для их сертификатов была разорвана, и стало трудно получить доступ к таким службам, как платформа управления идентификацией DigiD и Налоговая и таможенная администрация . [43] GOVCERT.NL  [ nl ]голландская группа реагирования на компьютерные чрезвычайные ситуации изначально не считала, что сертификаты PKIoverheid были скомпрометированы [44], хотя специалисты по безопасности были не уверены. [29] [45] Поскольку изначально предполагалось, что эти сертификаты не будут скомпрометированы из-за нарушения безопасности, они, по просьбе властей Нидерландов, были освобождены от отмены доверия [42] [46] - хотя один из во-вторых, активный корневой сертификат "Staat der Nederlanden - G2" был проигнорирован инженерами Mozilla и случайно не доверял в сборке Firefox. [47]Однако эта оценка была отменена после аудита правительством Нидерландов, и контролируемые DigiNotar промежуточные звенья в иерархии «Staat der Nederlanden» также были внесены в черный список Mozilla в следующем обновлении безопасности, а также другими производителями браузеров. [48] Правительство Нидерландов объявило 3 сентября 2011 г., что они перейдут к другой фирме в качестве центра сертификации. [49]

Шаги, предпринятые голландским правительством [ править ]

После первоначального заявления о том, что сертификаты промежуточного сертификата, управляемого DigiNotar в иерархии PKIoverheid, не пострадали, дальнейшее расследование, проведенное внешней стороной, консультантом Fox-IT, также показало доказательства хакерской активности на этих машинах. Следовательно, 3 сентября 2011 г. голландское правительство решило отозвать свое предыдущее заявление о том, что все в порядке. [50] (Следователи Fox-IT окрестили инцидент «Операцией« Черный тюльпан »». [51] ) В отчете Fox-IT было указано, что основными жертвами взлома стали 300 000 иранских учетных записей Gmail. [5]

DigiNotar был только одним из доступных центров сертификации в PKIoverheid, поэтому не все сертификаты, используемые голландским правительством в корневом каталоге, были затронуты. Когда правительство Нидерландов решило, что они потеряли доверие к DigiNotar, они вернули контроль над промежуточным сертификатом компании, чтобы управлять упорядоченным переходом, и заменили ненадежные сертификаты новыми сертификатами одного из других поставщиков. [50] Популярная сейчас платформа DigiD [ когда? ] использует сертификат, выданный Getronics PinkRoccade Nederland BV [52] Согласно правительству Нидерландов, DigiNotar полностью согласился с этими процедурами.

После отмены доверия к DigiNotar теперь есть четыре поставщика услуг сертификации (CSP), которые могут выдавать сертификаты в иерархии PKIoverheid : [53]

  • Digidentity [54]
  • ESG или De Electronische Signatuur [55]
  • Куовадис [56]
  • KPN Certificatiedienstverlening

Все четыре компании открыли специальные службы поддержки и / или опубликовали на своих веб-сайтах информацию о том, как организации, имеющие сертификат PKIoverheid от DigiNotar, могут запросить новый сертификат у одного из оставшихся четырех поставщиков. [54] [55] [56] [57]

См. Также [ править ]

  • Comodo Group: спор о SSL-сертификате Ирана
  • Операция Shady RAT
  • PLA Unit 61398
  • Stuxnet
  • Индивидуальные операции доступа

Ссылки [ править ]

  1. ^ a b «VASCO Data Security International, Inc. объявляет о приобретении DigiNotar BV, лидера рынка интернет-услуг доверия в Нидерландах» (пресс-релиз). ВАСКО . 10 января 2011 года архив с оригинала на 17 сентября 2011 года . Проверено 31 августа 2011 года .
  2. ^ Ван дер Мейлен, Николь (июнь 2013 г.). «DigiNotar: Рассмотрение первой голландской цифровой катастрофы» . Журнал стратегической безопасности . 6 (2): 46–58. DOI : 10.5038 / 1944-0472.6.2.4 . ISSN 1944-0464 . 
  3. ^ Веб-сайт Govcert Factsheet обнаружение мошеннических сертификатов . Проверено 6 сентября 2011 года.
  4. ^ a b «VASCO объявляет о банкротстве DigiNotar BV» (пресс-релиз). VASCO Data Security International. 20 сентября 2011 года архивации с оригинала на 23 сентября 2011 года . Проверено 20 сентября 2011 года .
  5. ^ a b Грегг Кейзер (6 сентября 2011 г.). «Хакеры шпионили за 300 000 иранцами, используя поддельный сертификат Google» . Компьютерный мир . Проверено 24 января 2014 года .
  6. ^ «Новая утечка NSA показывает атаки человека в середине на основные интернет-службы» . 13 сентября 2013 . Проверено 14 сентября 2013 года .
  7. ^ Rouwhorst, Koen (14 сентября 2013). «Нет, за взломом DigiNotar стояло не АНБ» . Проверено 19 ноября 2013 года .
  8. ^ «Хакер Comodo заявляет о своей ответственности за атаку DigiNotar» . PC World Australia. 6 сентября 2011 . Проверено 24 января 2014 года .
  9. Брайт, Питер (6 сентября 2011 г.). «Хакер Comodo: я тоже взломал DigiNotar; взломаны другие центры сертификации» . Ars Technica .
  10. ^ https://www.enisa.europa.eu/media/news-items/operation-black-tulip
  11. ^ «Самое слабое звено в цепочке: уязвимости в системе центра сертификации SSL и что с ними делать. Краткое описание политики доступа относительно последствий взлома DigiNotar для гражданского общества и коммерческих предприятий» (PDF) .
  12. ^ "Overzicht actuele rootcertificaten" [Обзор текущих корневых сертификатов] (на голландском языке). DigiNotar. Архивировано из оригинального 31 августа 2011 года . Проверено 12 сентября 2011 года .
  13. ^ "Доверие к Diginotar" . Ssl.entrust.net. 14 сентября 2011 года Архивировано из оригинального 2 -го апреля 2012 года . Проверено 1 февраля 2012 года .
  14. ^ Экран печати сертификата Diginotar в сети Entrust
  15. ^ "Рекомендации по безопасности Microsoft 2607712" . technet.microsoft.com . Проверено 16 июня, 2016 .
  16. ^ «Обновленная информация о попытках атак типа« злоумышленник посередине »» . Блог Google по онлайн-безопасности . Проверено 16 июня, 2016 .
  17. ^ "Поддельный сертификат * .google.com" . Блог по безопасности Mozilla . Проверено 16 июня, 2016 .
  18. ^ Веб-сайт Diginotar на TTP Notarissen. Архивировано 31 августа 2011 года на Wayback Machine .
  19. ^ Промежуточный отчет FOX-IT, версия 1.0 (но до того, как какие-либо сертификаты были выданы неверно), Timeline, стр. 13. Получено 5 сентября 2011 г.
  20. ^ "VASCO занимается глобальным рынком SSL-сертификатов" . MarketWatch . 20 июня 2011 г.
  21. ^ Pressrelease суд Харлема на DigiNotar , 20 сентября 2011 года Проверено 27 сентября 2011.
  22. ^ Newssite nu.nl: приемник боится больше претензий (голландской), 22 июня 2012 года посетил: 25 июня 2012.
  23. ^ a b Хизер Эдкинс (29 августа 2011 г.). «Обновленная информация о попытках атак типа« злоумышленник посередине »» . Проверено 30 августа 2011 года .
  24. ^ Элинор Миллс. «Поддельный сертификат Google указывает на интернет-атаку». CNET , 29.08.2011.
  25. Чарльз Артур (30 августа 2011 г.). «Поддельный веб-сертификат мог быть использован для нападения на иранских диссидентов» . Хранитель . Проверено 30 августа 2011 года .
  26. ^ «Поддельный сертификат запускает блокировку от компаний-разработчиков программного обеспечения» . Heise Media UK Ltd. 30 августа 2011. Архивировано из оригинального 28 апреля 2012 года.
  27. ^ "DigiNotar сообщает об инциденте безопасности" . VASCO Data Security International. 30 августа 2011 года Архивировано из оригинального 31 августа 2011 года . Проверено 1 сентября 2011 года .
  28. ^ "Mogelijk nepsoftware verspreid naast aftappen Gmail" . Sanoma Media, Нидерланды. 31 августа 2011 г.
  29. ^ a b "DigiNotar: возможно использование сертификатов в omloop" . IDG Nederland. 31 августа 2011 г.
  30. Кейзер, Грегг (31 августа 2011 г.). «Хакеры могли украсть более 200 сертификатов SSL» . F-Secure.
  31. ^ Маркхэм, Гервасий (4 сентября 2011). «Обновленный список DigiNotar CN» .
  32. ^ Гиппонен, Микко (30 августа 2011). «DigiNotar взломан Black.Spook и иранскими хакерами» .
  33. ^ «Мошеннические цифровые сертификаты могут позволить спуфинг» . Совет по безопасности Microsoft (2607712) . Microsoft. 29 августа 2011 . Проверено 30 августа 2011 года .
  34. ^ Johnathan Найтингейл (29 августа 2011). «Поддельный сертификат * .google.com» . Блог по безопасности Mozilla . Mozilla . Проверено 30 августа 2011 года .
  35. ^ «Что означает нарушение безопасности DigiNotar для пользователей Qt» . Эксперты MeeGo . 10 сентября 2011 года архивации с оригинала на 24 марта 2012 года . Проверено 13 сентября 2011 года .
  36. ^ "Выпущена Opera 11.51" . Программное обеспечение Opera. 30 августа 2011 г.
  37. Vik, Sigbjørn (30 августа 2011 г.). «Когда центры сертификации взломаны» . Программное обеспечение Opera.
  38. ^ «Второй шаг DigiNotar: занесение корневого каталога в черный список» . Программное обеспечение Opera. 8 сентября 2011 г.
  39. ^ «Об обновлении безопасности 2011-005» . Яблоко. 9 сентября 2011 . Проверено 9 сентября 2011 года .
  40. ^ «Пользователи Safari по-прежнему уязвимы для атак с использованием поддельных сертификатов DigiNotar» . Ars Technica . 1 сентября 2011 . Проверено 1 сентября 2011 года .
  41. ^ «О безопасности обновления программного обеспечения iOS 5» . Яблоко. 13 октября 2011 . Проверено 13 октября 2014 года .
  42. ^ a b Джонатан Найтингейл (2 сентября 2011 г.). «Последующие действия по удалению DigiNotar» . Блог по безопасности Mozilla . Проверено 4 сентября 2011 года .
  43. ^ Schellevis, Joost (30 августа 2011). «Сертификат Firefox vertrouwt в DigiD niet meer» . Tweakers.net (на голландском).
  44. ^ "Frauduleus uitgegeven beveiligingscertificaat" . 30 августа 2011 г.
  45. ^ Schellevis, Joost (31 августа 2011). "Overheid vertrouwt blunderende ssl-autoriteit" . Tweakers.net (на голландском).
  46. ^ Schellevis, Joost (31 августа 2011). "Firefox vertrouwt DigiD точно на вершине Nederlandse overheid" . Tweakers.net (на голландском).
  47. ^ «Bugzilla @ Mozilla - Ошибка 683449 - Удалите исключения для корневого каталога Staat der Nederlanden» . Проверено 5 сентября 2011 года .
  48. ^ Gervase Маркхэм (3 сентября 2011). «Компромисс DigiNotar» . Проверено 3 сентября 2011 года .
  49. ^ «Безопасность правительственных веб-сайтов Нидерландов под угрозой» . Радио Нидерландов во всем мире . 3 сентября 2011 года Архивировано из оригинального 27 сентября 2011 года . Проверено 3 сентября 2011 года .
  50. ^ a b Newsrelease Dutch Government: Overheid zegt vertrouwen in de certificaten van Diginotar op. Архивировано 17 октября 2011 года в Wayback Machine , 3 сентября 2011 года. Проверено 5 сентября 2011 года.
  51. Шарет, Роберт (9 сентября 2011 г.). «Нарушение центра сертификации DigiNotar приводит к сбою электронного правительства в Нидерландах - IEEE Spectrum» . Spectrum.ieee.org . Проверено 24 января 2014 года .
  52. ^ См. Сертификат на запросе учетной записи DigiD [ постоянная мертвая ссылка ] . Проверено 5 сентября 2011 года.
  53. ^ Веб-сайт Logius: Замена сертификатов . Проверено 5 сентября 2011 года.
  54. ^ a b "PKIoverheid SSL" . Архивировано из оригинального 12 июля 2012 года .
  55. ^ a b Сертификаты PKIOverheids. Архивировано 10 октября 2011 г. в Wayback Machine . Проверено 5 сентября 2011 года.
  56. ^ a b Веб-сайт голландского офиса Quovadis на PKIOverheid . Проверено 5 сентября 2011 года.
  57. ^ Веб-сайт Getronics о запросе сертификата PKIOverheid. Архивировано 10 октября 2011 г., на archive.today . Проверено 5 сентября 2011 года.

Дальнейшее чтение [ править ]

  • Fox-IT (август 2012 г.). Black Tulip: Отчет о расследовании нарушения работы центра сертификации DigiNotar .

Внешние ссылки [ править ]

  • Официальный сайт (англ., Не говоря уже о банкротстве)
  • Официальный сайт (голландский, упоминание о банкротстве)
  • Поддельные сертификаты - список общеупотребительных имен
  • DigiNotar сообщает об инциденте с безопасностью
  • Pastebin сообщения:
    • Gmail.com SSL MITM АТАКА со стороны правительства Ирана - 27.08.2011
    • Смертный приговор в Интернете для корневого центра сертификации DigiNotar!
  • Рекомендации по безопасности Mozilla Foundation 2011-34: Защита от поддельных сертификатов DigiNotar
  • Рекомендации Microsoft по безопасности (2607712): поддельные цифровые сертификаты могут допускать подделку
  • DigiNotar Компромисс - Mozilla 's Gervase Маркхемы счет' s о том , как и почему Mozilla черного списка DigiNotar.
  • Джонатан Найтингейл (2 сентября 2011 г.). «Последующие действия по удалению DigiNotar» . Блог по безопасности Mozilla . Проверено 4 сентября 2011 года . Отчет директора отдела разработки Firefox в Mozilla Corporation о том, почему удаление DigiNotar Mozilla из списка доверенных является не временной приостановкой, а полным отказом от доверия.
  • Видео на YouTube от Fox-IT, демонстрирующее последующие запросы OSCP иранскими пользователями сертификатов DigiNotar (вероятные атаки).