DigiNotar违反事件发生一年后,Fox-IT详细说明了受害程度

调查人员说,尽管网络进行了分段,但黑客仍获得了对所有关键DigiNotar证书颁发机构系统的管理员访问权限

据荷兰政府委托调查的安全公司Fox-IT称,2011年荷兰证书颁发机构(CA)DigiNotar的安全漏洞导致了广泛的妥协,部分原因是该公司的网络分段和防火墙配置存在缺陷。事件。

Fox-IT表示:“ DigiNotar网络被分为24个不同的内部网络部分。 最终调查报告,本周早些时候由荷兰内政和王国关系部出版。 “内部和外部非军事区(DMZ)将内部网络的大多数网段与Internet隔开。这些网区没有严格描述或强制执行,并且防火墙包含许多规则,这些规则指定了各个网段之间的网络流量例外。”

DigiNotar安全漏洞发生在2011年7月,导致黑客利用该公司的证书颁发机构(CA)基础结构为高配置域颁发了数百个流氓数字证书,其中包括google.com的一个数字证书,该证书后来被用于大规模监视攻击中针对伊朗的互联网用户。事件公开后,浏览器和操作系统开发人员撤消了对证书的信任,公司申请破产。

该违规非常重要,因为它引发了有关当前形式的公钥基础结构(PKI)的安全性和可信赖性的问题,从而引发了各种技术提案,这些提案有望减少证书颁发机构妥协的影响并防止使用流氓数字证书。 。当前,在Web浏览器和操作系统中,默认情况下有数百个证书颁发机构受信任,并且它们都可以为Internet上的任何域颁发有效的数字证书。

攻击者进入DigiNotar网络的原始切入点是两个Web服务器,这些服务器托管运行在过时且易受攻击的Web内容管理系统DotNetNuke版本上的公共网站。这些Web服务器位于公司的外部非军事区。

然后,入侵者利用现有的防火墙规则来访问和破坏来自不同网络网段的服务器-首先是从称为Office-net的网段,然后是从称为Secure-net的网段,该网段包含用于数字证书颁发的证书颁发机构服务器。

Fox-IT说:“在这些网段的系统上恢复了专用工具,这些工具被用来创建隧道,使入侵者可以与未直接连接到Internet的DigiNotar系统建立Internet连接。” “入侵者能够以这种方式建立远程桌面协议连接的通道,从而在受感染的系统(包括受感染的CA服务器)上提供了图形用户界面。”

DigiNotar运营着多个下级证书颁发机构(sub CA),并使用它们颁发不同用途的数字证书,包括荷兰政府IT运营的证书。

Fox-IT重申了其在2011年9月发布的中期报告中表达的结论:DigiNotar的所有CA服务器均已遭到破坏。该公司在一份中期报告中说,这是由于所有服务器都在同一个Windows域上,并且攻击者设法通过“强力”方法获得了域管理员凭据,因为密码不是很强。

Fox-IT在周一发布的最终报告中说:“ Fox-IT的调查显示,管理证书颁发机构的所有八台服务器均已受到入侵者的侵害。” “日志文件通常存储在遭到破坏的同一服务器上,并发现证据表明它们已被篡改。”

由于某些日志已被删除,因此该公司无法确定实际使用了哪些受损的CA服务器来颁发恶意证书。但是,一些证据表明,黑客颁发的流氓证书比以前认为的要多。

“与DigiNotar的正式记录不符的证书的序列号已在多个CA服务器上恢复,包括用于颁发经认可的合格证书和政府证书的Qualified-CA服务器,这表明这些服务器可能已被用于发行其他证书。以及目前未知的流氓证书。”

拥有足够的CA服务器访问权限还不足以让黑客发布数字证书,因为此过程需要操作员插入智能卡才能激活存储在硬件安全模块中的相应私钥。

Fox-IT说:“如果在入侵期间相应的私钥没有被激活,那么可能发生的未经授权的行为就不会包括发行恶意证书。” “ DigiNotar无法提供有关是否以及何时使用智能卡来激活私钥的记录,除了用于CCV-CA服务器上的证书颁发机构的智能卡是用于在零售企业中发行用于电子支付的证书之外,据报道,在整个入侵期间,他一直处于保险库中。”

但是,该公司发现证据表明,某些CA服务器在入侵期间自动颁发了证书吊销列表(CRL)-吊销的数字证书列表。这些列表需要签名,这表明私钥是活动的,攻击者有机会滥用它们。

在调查过程中发现的有关攻击者的所有信息,例如他使用的IP地址(其中一些对应于代理服务器)均已移交给荷兰警察。证据表明该黑客位于伊朗,文本文件中留下的签名表明他是2011年3月破坏Comodo证书颁发机构的攻击者。

Fox-IT表示,尽管关于黑客进入DigiNotar网络后所采取的措施仍然存在一些悬而未决的问题,但从这次事件中可以吸取一些教训。

该公司说,首先,用预防措施补充预防措施很重要。 “即使在违反特定网段的情况下,检测仍可以阻止基础结构的关键部分成为攻击目标。”

分开由IT人员执行的任务也很重要。例如,系统管理员不应负责设置和维护防火墙或基础结构的其他安全组件,因为他们可能倾向于为用户提供令人愉悦的工作环境,而这将与限制网段之间交互的任务相冲突。 -它说。

该公司在报告中列举的其他建议包括:将重要系统尽可能地与不受信任的网段或Internet分开;尽可能经常更新所有系统上的所有软件产品;限制在用于关键流程的系统上运行的服务数量;通过更改默认设置强化所有系统;与不同的团队进行定期渗透测试;并确保监视系统或网络,并通知相关员工任何异常情况。

版权© 2012 IDG通讯,Inc.

  
在亚马逊上购买技术产品