今年3月入侵Comodo凭证机构的伊朗黑客ComodoHacker宣布,他入侵的凭证机构包括DigiNotar、StartCom与 GlobalSign在内。 今年3月入侵Comodo凭证机构的伊朗黑客ComodoHacker本周透过Pastebin宣布,他不但是骇进Comodo的元凶,也入侵其他4家高知名度的凭证机构,包括DigiNotar、StartCom与GlobalSign在内。GlobalSign在得知此事后,已暂时停止凭证的发放,并展开全面调查。
今年8月底,网络上出现由DigiNotar凭证所颁发的假Google凭证,而使得此一事件曝光。调查后发现,黑客人侵DigiNotar至少颁发了涉及20个网域的500个凭证,由于假凭证数量与范围仍不明,因此包括Google与Mozilla皆已更新旗下的产品,暂时停止信任由DigiNotar 所发布的所有凭证。
这些假冒的凭证波及了Google、Facebook、微软、Yahoo、Skype、荷兰政府网站,以及美/英/以色列的情报单位。
ComodoHacker表示,他入侵DigiNotar并伪造荷兰政府机构凭证是为了报复荷兰政府在16年前以8000名回教徒交换30名荷兰士兵,而且赛尔维亚人在同一天杀害了这8000名回教徒。DigiNotar为一位于荷兰的小型认证机构,荷兰政府已得知此事,并正扩大调查中。
ComodoHacker计划公布人侵这些凭证机构的细节,包括他如何进入DigiNotar的第6层网络,如何找到密码,如何取得系统权限,绕过安全机 构与硬件钥匙,以让大家了解该攻击的复杂度,而这将是一个绝佳的黑客课程。他甚至公布了进入DigiNotar系统的用户名称与密码,并且留下电子邮件账号欢迎媒体专访。
即使ComodoHacker强调荷兰政府16年前的过错,文中也未谈及任何组织行动。不过,今年3月遭到Comodohacker入侵的Comodo执行长Melih Abdulhayoglu在接受媒体访问时,直指Comodohacker的背后有政府的支撑,而且相关攻击将不会停止。
Google的调查显示,近日所发现以假冒的DigiNotar凭证针对Google用户所进行的中间人(man-in-the-middle)攻击的被害者主要位于伊朗;趋势科技的研究亦发现,伊朗境内40个不同的ISP或学校网络都曾遭遇DigiNotar颁发的假凭证,同时伊朗也发生了大规模的中间人攻击。
趋势科技侦测用来检验DigiNotar凭证的validation.diginotar.nl网站流量,发现今年8月30日前,主要的流量都来自于荷兰及伊朗,由于DigiNotar为荷兰凭证业者,因此该站大多数的流量自然以荷兰为主,但会有大量来自伊朗的流量则令人匪夷所思,当业者发现DigiNotar遭骇并采取补救措施后,几乎所有来自伊朗的流量都消失了。
荷兰资安业者Fox-IT则指出,从今年8月初到8月底之间,约有30万个独立的IP地址以假冒的凭证存取google.com,其中超过99%都来自伊朗境内。
Fox-IT亦揭露了DigiNotar的安全问题,指出DigiNotar网络多次遭骇,且黑客所使用与安装的工具都能被标准的防病毒软件所侦测到,代表DigiNotar明显缺乏安全程序。
来源:ITHOME