เกิดอะไรขึ้นกับ DigiNotar รายงานสำรวจแถลงบอกรายละเอียดการแฮก

by lew
6 November 2012 - 13:05
Read full version on Blognone.com

ปัญหาการทำใบรับรองปลอมจาก DigiNotar สร้างความกังวลทั่วโลกว่าระบบใบรับรองทุกวันนี้มีความน่าเชื่อถือเพียงใด รายงานการสำรวจความเสียหายโดยบริษัท Fox IT เพื่อส่งให้กับกระทรวงมหาดไทยของเนเธอร์แลนด์ได้รายงานถึงกระบวนการที่แฮกเกอร์เข้ามาสร้างใบรับรองปลอมจำนวน 531 ใบ

เครือข่ายของ DigiNotar ภายในแบ่งออกเป็น 24 ส่วน เซิร์ฟเวอร์สำหรับสร้างใบรับรองที่ติดตั้งสมาร์ตการ์ดที่ใช้รับรองนั้นตั้งอยู่ในห้องรักษาความปลอดภัยสูงแยกออกไป

การบุกรุกครั้งแรกเกิดขึ้นในวันที่ 17 มิถุนายน 2011 จากเว็บเซิร์ฟเวอร์หลัก จากบั๊กความปลอดภัยใน DotNetNuke ที่ไม่ได้อัพเดตมาวางไฟล์ setting.aspx และ up.aspx เพื่ออัพโหลดโปรแกรมอื่นๆ จากนั้นจึงต่อเข้าไปยังเซิร์ฟเวอร์หลังไฟร์วอลล์ผ่านทางเซิร์ฟเวอร์ MSSQL เผื่อทะลุเข้าไปยังเครือข่ายของสำนักงาน จากนั้นอีกสิบกว่าวัน แฮกเกอร์สแกนเครือข่ายจนได้ช่องทำ tunnel จากพอร์ต 443 เข้าไปยังเครือข่าย DMZ-ext ที่แยกออกจากเครือข่ายของเว็บเซิร์ฟเวอร์

แฮกเกอร์แฮกเครื่อง CA ได้ครั้งแรกในวันที่ 1 กรกฎาคม 2011 และเริ่มเข้าควบคุมซอฟต์แวร์จัดการใบรับรองได้ในวันที่ 2 จากนั้นจึงวางเครื่องมือเพื่อถ่ายโอนไฟล์ออกไปอัตโนมัติในวันที่ 4

วันที่ 10 กรกฎาคม 2011 ใบรับรองชุดแรกเริ่มถูกรับรอง รวมรายการดังนี้

  • 10 กรกฎาคม 2011: 85 ใบจากเซิร์ฟเวอร์ Relation-CA
  • 10 กรกฎาคม 2011: 198 ใบจากเซิร์ฟเวอร์ Public-CA
  • 18 กรกฎาคม 2011: 124 ใบจากเซิร์ฟเวอร์ Public-CA
  • 20 กรกฎาคม 2011: 124 ใบจากเซิร์ฟเวอร์ Public-CA

แฮกเกอร์ทดสอบใบรับรองใบแรกที่ได้มา คือ login.yahoo.com ในทันทีและพบว่าใช้งานได้ดี

ทาง DigiNotar ทดสอบระบบตามรอบการทดสอบ แล้วพบใบรับรองผิดปกติในวันที่ 19 กรกฎาคม 2011 แล้วยกเลิกใบรับรองปลอมพร้อมกับตั้งทีมสอบสวนภายใน จากนั้นจึงไล่ยกเลิกใบรับรองอีกสองชุดในวันที่ 21 และ 27 กรกฎาคม 2011 ทาง DigiNotar คิดว่าใบรับรองทั้งหมดถูกยกเลิกแล้ว และปัญหาได้รับการแก้ไขแล้ว ทางบริษัทไม่ได้แถลงข่าวเรื่องนี้ต่อสาธารณะ

เริ่มพบการใช้งานหลังวันที่ 4 สิงหาคม 2011 จำนวนมากจากอิหร่าน และกูเกิลรับรู้ปัญหานี้ในวันที่ 28 สิงหาคม 2011 จากผู้ใช้ในอิหร่านที่พบว่า Google Chrome แจ้งเดือนใบรับรองปลอม (เพราะ Chrome ล็อกไว้ว่าใบรับรองของกูเกิลจะออกจากผู้ให้บริการรายใดได้บ้าง) ปรากฎว่าเป็นใบรับรอง *.google.com ที่ไม่ปรากฎในฐานข้อมูลของ DigiNotar ทำให้ทางบริษัทต้องสร้างใบรับรองขึ้นใหม่เพื่อยกเลิกไปในวันที่ 29 สิงหาคม 2011

แต่หลังจากข่าวแพร่ออกไป ความไว้ใจใน DigiNotar ก็หมดลง เบราว์เซอร์หลักแทบทุกตัวถอนใบรับรองของ DigiNotar ออก ในวันที่ 19 กันยายน 2011 ทาง DigiNotar ก็ยื่นล้มละลาย และได้รับอนุมัติในวันต่อมา

ที่มา - rijksoverheid.nl: Black Tulip Update

Read on Full Site
Blognone Jobs Premium