DigiNotar - DigiNotar
Тип | Дочерняя компания публичной компании |
---|---|
Промышленность | Интернет-безопасность |
Основан | 1998 г. |
Основатель | Дик Батенбург |
Несуществующий | 20 сентября 2011 г. |
Судьба | приобретена VASCO Data Security International, Inc. в 2010 году; объявлен банкротом в 2011 г. |
Штаб-квартира | , |
Продукты | Сертификаты открытого ключа |
Услуги | Центр сертификации |
Владелец | VASCO Data Security International |
Веб-сайт | www |
DigiNotar был голландским центром сертификации, принадлежащим VASCO Data Security International, Inc. 3 сентября 2011 года, когда стало ясно, что нарушение безопасности привело к мошеннической выдаче сертификатов , правительство Нидерландов взяло на себя оперативное управление системами DigiNotar. В том же месяце компания была объявлена банкротом.
Расследование взлома, проведенное консалтинговой компанией Fox-IT, назначенной голландским правительством, определило 300000 иранских пользователей Gmail в качестве основной цели взлома (впоследствии нацеленного на использование атак типа «злоумышленник в середине» ) и подозревало, что за взломом стояло иранское правительство. . Хотя никому не было предъявлено обвинение во взломе и компрометации сертификатов (по состоянию на 2013 год), криптограф Брюс Шнайер говорит, что атака могла быть «либо работой АНБ , либо использованной АНБ». Однако это оспаривается, поскольку другие утверждают, что АНБ обнаружило службу внешней разведки только с помощью поддельных сертификатов. О взломе также заявил так называемый Comodohacker, якобы 21-летний иранский студент, который также утверждал, что взломал четыре других центра сертификации, включая Comodo , утверждение, которое F-Secure сочла правдоподобным , хотя и не полностью объясняет. как это привело к последующему «широкомасштабному перехвату иранских граждан».
После того, как было обнаружено более 500 поддельных сертификатов DigiNotar, основные производители веб-браузеров отреагировали на это, занесли в черный список все сертификаты DigiNotar. Масштаб инцидента использовался некоторыми организациями, такими как ENISA и AccessNow.org, чтобы призвать к более глубокой реформе HTTPS , чтобы исключить возможность самого слабого звена, что один скомпрометированный центр сертификации может повлиять на такое количество пользователей.
Компания
Основным видом деятельности DigiNotar был центр сертификации , выдающий два типа сертификатов. Во-первых, они выпустили сертификаты под своим именем (где корневой ЦС был «Корневой ЦС DigiNotar»). Сертификаты доверительного управления не выдавались с июля 2010 года, но некоторые из них были действительны до июля 2013 года. Во-вторых, они выдавали сертификаты для программы PKIoverheid («PKIgovernment») правительства Нидерландов . Эта выдача осуществлялась через два промежуточных сертификата, каждый из которых был привязан к одному из двух корневых центров сертификации "Staat der Nederlanden". Национальные и местные органы власти и организации Нидерландов, предлагающие услуги правительству, желающему использовать сертификаты для безопасного Интернет-соединения, могут запросить такой сертификат. Некоторые из наиболее часто используемых электронных услуг, предлагаемых правительством Нидерландов, используют сертификаты DigiNotar. Примерами были инфраструктура аутентификации DigiD и центральная организация по регистрации автомобилей Netherlands Vehicle Authority (RDW).
Корневые сертификаты DigiNotar были удалены из списков доверенных корневых серверов всех основных веб-браузеров и потребительских операционных систем примерно 29 августа 2011 года; корни "Staat der Nederlanden" изначально были сохранены, потому что не считались уязвимыми. Однако с тех пор они были отозваны.
История
DigiNotar была основана в 1998 году голландским нотариусом Диком Батенбургом из Бевервейка и Koninklijke Notariële Beroepsorganisatie , национальным органом голландских нотариусов по гражданскому праву . KNB предлагает нотариусам все виды центральных услуг, и поскольку многие из услуг, которые предлагают нотариусы, являются официальными юридическими процедурами, безопасность связи важна. KNB предлагал своим членам консультационные услуги по внедрению электронных услуг в их бизнес; одно из этих мероприятий предлагало безопасные сертификаты.
Дик Батенбург и KNB сформировали группу TTP Notarissen (TTP Notaries), где TTP означает надежную третью сторону . Нотариус может стать членом TTP Notarissen при соблюдении определенных правил. Если они соблюдают дополнительные правила обучения и рабочих процедур, они могут стать аккредитованным нотариусом ТТП.
Хотя DigiNotar в течение нескольких лет был центром сертификации общего назначения, они по-прежнему были ориентированы на нотариусов и других профессионалов.
10 января 2011 года компания была продана VASCO Data Security International. В пресс-релизе VASCO от 20 июня 2011 года, через день после того, как DigiNotar впервые обнаружила инцидент в своих системах, президент VASCO и главный операционный директор Ян Валке заявил: «Мы считаем, что сертификаты DigiNotar являются одними из самых надежных в этой области».
Банкротство
20 сентября 2011 года компания Vasco объявила, что ее дочерняя компания DigiNotar была объявлена банкротом после подачи заявления о добровольном банкротстве в суде Харлема . Сразу после этого суд назначил управляющего , назначенного судом попечителя, который берет на себя управление всеми делами DigiNotar в процессе ее банкротства до ликвидации .
Отказ опубликовать отчет
Куратор (назначенный суд приемник) не хотел, чтобы отчет ITSEC будет опубликован, так как это может привести к дополнительным требованиям по отношению к DigiNotar. В отчете описывались методы работы компании и подробности взлома 2011 года, приведшего к ее банкротству.
Отчет был составлен по запросу голландского надзорного агентства OPTA, которое в первую очередь отказалось опубликовать отчет. В рамках процедуры свободы информации ( Wet openbaarheid van bestuur ), начатой журналистом, получатель пытался убедить суд не разрешать публикацию этого отчета и подтвердить первоначальный отказ OPTA сделать это.
Отчет был обнародован в октябре 2012 года. Он показывает почти полную компрометацию систем.
Выдача поддельных сертификатов
10 июля 2011 г. злоумышленник, имеющий доступ к системам DigiNotar, выпустил подстановочный сертификат для Google . Этот сертификат впоследствии был использован неизвестными лицами в Иране для проведения атаки типа « злоумышленник в середине» на сервисы Google. 28 августа 2011 г. проблемы с сертификатами наблюдались у нескольких интернет-провайдеров в Иране. Фальшивый сертификат был размещен на pastebin . Согласно последующему выпуску новостей VASCO, DigiNotar обнаружил вторжение в инфраструктуру своего центра сертификации 19 июля 2011 года. DigiNotar в то время публично не раскрыл нарушение безопасности.
После того, как этот сертификат был найден, DigiNotar с опозданием признала, что были созданы десятки поддельных сертификатов, включая сертификаты для доменов Yahoo! , Mozilla , WordPress и проект Tor . DigiNotar не может гарантировать, что все такие сертификаты были отозваны . Google внес в черный список 247 сертификатов в Chromium , но окончательное известное общее количество неправильно выданных сертификатов составляет не менее 531. Расследование F-Secure также показало, что веб-сайт DigiNotar был поврежден турецкими и иранскими хакерами в 2009 году.
В ответ Mozilla отозвала доверие к корневому сертификату DigiNotar во всех поддерживаемых версиях своего браузера Firefox, а Microsoft удалила корневой сертификат DigiNotar из своего списка доверенных сертификатов своих браузеров во всех поддерживаемых выпусках Microsoft Windows. Chromium / Google Chrome смог обнаружить поддельный *.google.com
сертификат благодаря функции безопасности « закрепления сертификата »; однако эта защита была ограничена доменами Google, в результате чего Google удалил DigiNotar из своего списка надежных издателей сертификатов. Opera всегда проверяет список отзыва сертификатов издателя сертификата, поэтому изначально они заявили, что не нуждаются в обновлении безопасности. Однако позже они также удалили корень из своего хранилища доверенных сертификатов. 9 сентября 2011 г. Apple выпустила Обновление безопасности 2011-005 для Mac OS X 10.6.8 и 10.7.1, которое удаляет DigiNotar из списка доверенных корневых сертификатов и центров сертификации EV. Без этого обновления Safari и Mac OS X не обнаруживают отзыв сертификата, и пользователи должны использовать служебную программу « Связка ключей», чтобы вручную удалить сертификат. Apple не обновляла iOS до 13 октября 2011 года, выпустив iOS 5.
DigiNotar также контролировал промежуточный сертификат , который был использован для выдачи сертификатов в рамках голландского правительства «s инфраструктуры открытого ключа программы„PKIoverheid“, цепочки до официального голландского правительства сертификации ( Staat дер Nederlanden ). После того, как этот промежуточный сертификат был отозван или помечен браузерами как ненадежный, цепочка доверия для их сертификатов была нарушена, и стало трудно получить доступ к таким службам, как платформа управления идентификационной информацией DigiD и Налоговая и таможенная администрация . GOVCERT.NL , голландская группа реагирования на компьютерные чрезвычайные ситуации , изначально не считала, что сертификаты PKIoverheid были скомпрометированы, хотя специалисты по безопасности были не уверены. Поскольку изначально предполагалось, что эти сертификаты не будут скомпрометированы из-за нарушения безопасности, они, по запросу голландских властей, были освобождены от удаления доверия, хотя один из двух, активный корень "Staat der Nederlanden - G2" сертификат, не был замечен инженерами Mozilla и случайно не доверял сборке Firefox. Однако эта оценка была отменена после аудита, проведенного голландским правительством, и контролируемые DigiNotar промежуточные звенья в иерархии «Staat der Nederlanden» также были занесены в черный список Mozilla в следующем обновлении безопасности, а также другими производителями браузеров. Правительство Нидерландов объявило 3 сентября 2011 г., что они перейдут к другой фирме в качестве центра сертификации.
Шаги, предпринятые правительством Нидерландов
После первоначального заявления о том, что сертификаты промежуточного сертификата, управляемого DigiNotar в иерархии PKIoverheid, не пострадали, дальнейшее расследование, проведенное внешней стороной, консультантом Fox-IT, также показало доказательства хакерской активности на этих машинах. Следовательно, правительство Нидерландов 3 сентября 2011 г. приняло решение отозвать свое предыдущее заявление о том, что все в порядке. (Исследователи Fox-IT окрестили инцидент «Операцией« Черный тюльпан »».) В отчете Fox-IT было указано, что основными жертвами взлома стали 300 000 иранских учетных записей Gmail.
DigiNotar был только одним из доступных центров сертификации в PKIoverheid, поэтому не все сертификаты, используемые голландским правительством в корневом каталоге, были затронуты. Когда правительство Нидерландов решило, что они потеряли доверие к DigiNotar, они вернули контроль над промежуточным сертификатом компании, чтобы управлять упорядоченным переходом, и заменили ненадежные сертификаты новыми сертификатами одного из других поставщиков. В широко используемой платформе DigiD теперь используется сертификат, выданный Getronics PinkRoccade Nederland BV. По заявлению правительства Нидерландов, DigiNotar полностью согласился с этими процедурами.
После удаления доверия в DigiNotar теперь есть четыре поставщика услуг сертификации (CSP), которые могут выдавать сертификаты в иерархии PKIoverheid :
- Digidentity
- ESG или De Electronische Signatuur
- QuoVadis
- KPN Certificatiedienstverlening
Все четыре компании открыли специальные службы поддержки и / или опубликовали на своих веб-сайтах информацию о том, как организации, имеющие сертификат PKIoverheid от DigiNotar, могут запросить новый сертификат у одного из оставшихся четырех поставщиков.
Смотрите также
- Comodo Group: спор о SSL-сертификате Ирана
- Операция Shady RAT
- PLA Unit 61398
- Stuxnet
- Индивидуальные операции доступа
использованная литература
дальнейшее чтение
- Fox-IT (август 2012 г.). Black Tulip: Отчет о расследовании нарушения работы центра сертификации DigiNotar .
внешние ссылки
- Официальный сайт (англ., Не говоря уже о банкротстве)
- Официальный сайт (голландский, упоминание о банкротстве)
- Поддельные сертификаты - список общеупотребительных имен
- DigiNotar сообщает об инциденте с безопасностью
- Pastebin сообщения:
- Рекомендации по безопасности Mozilla Foundation 2011-34: Защита от поддельных сертификатов DigiNotar
- Рекомендации Microsoft по безопасности (2607712): поддельные цифровые сертификаты могут допускать подделку
- Компромисс с DigiNotar - отчет Джерваса Маркхама из Mozilla о том, как и почему Mozilla занесла DigiNotar в черный список.
- Джонатан Найтингейл (2 сентября 2011 г.). «Последующие действия по удалению DigiNotar» . Блог по безопасности Mozilla . Проверено 4 сентября 2011 года . Отчет директора отдела разработки Firefox в Mozilla Corporation о том, почему удаление DigiNotar Mozilla из списка доверенных является не временной приостановкой, а полным отказом от доверия.
- Видео на YouTube от Fox-IT, демонстрирующее последующие запросы OCSP иранскими пользователями сертификатов DigiNotar (вероятные атаки).