DigiNotar CA泄漏范圍擴(kuò)大 微軟及荷蘭政府采取行動
荷蘭政府發(fā)布分析DigiNotar公司服務(wù)器的審計報告后,本周荷蘭證書授予機構(gòu)DigiNotar的泄漏范圍擴(kuò)大,報告顯示了該公司不同CA服務(wù)器中的重大安全失誤。
該報告由IT安全公司Fox-IT編寫,他們發(fā)現(xiàn)DigiNotar網(wǎng)絡(luò)已經(jīng)“嚴(yán)重泄漏”并感染了超過二十臺CA服務(wù)器。破壞的程度大大提高,CA服務(wù)器已發(fā)出了數(shù)以百計的針對20個不同領(lǐng)域簽署的流氓證書。
一些專家表示,泄漏的嚴(yán)重性提醒了我們關(guān)于損壞證書系統(tǒng)的問題。一個總部設(shè)在英國的安全廠商,Sophos有限責(zé)任公司的高級安全顧問Chester Wisniewski表示,企業(yè)的首席信息安全官們(CISOs)需要了解他們的組織如何使用SSL證書,并提出應(yīng)急計劃以應(yīng)對證書供應(yīng)商的泄漏事故。除了在瀏覽器中使用SSL來驗證網(wǎng)站的真實性,許多企業(yè)使用數(shù)字證書來驗證SSL VPN和電子郵件服務(wù)器用戶的身份。
“企業(yè)需要知道,如果他們的SSL VPN打斷了用戶或他們的電子商務(wù)系統(tǒng)讓他們用戶的業(yè)務(wù)衰退了(if their SSL VPN would break for their users or if their e-commerce system would falter with their customers),他們應(yīng)該做些什么?”Wisniewski說道,“問問你自己,是否有一個可供選擇的方案?”
企業(yè)可以從多個證書授予機構(gòu)獲得證書,從而使得一旦一臺CA服務(wù)器泄漏了,他們還可以有一個確保網(wǎng)站驗證的后備方案。替代當(dāng)前系統(tǒng)的方案還在測試中,但直到谷歌,微軟和Mozilla開始支持替代的真?zhèn)悟炞C系統(tǒng)前,該系統(tǒng)是不可能改變的。Fox-IT報告促使瀏覽器制造商將DigiNotar證書拉入黑名單。
本周二,微軟更新了它的安全公告,推出了針對支持所有Windows版本的自動更新,撤銷對DigiNotar根證書的信任。微軟表示,這保護(hù)了IE用戶免受中間人攻擊。流氓數(shù)字證書可以讓攻擊者制造假內(nèi)容并執(zhí)行網(wǎng)絡(luò)釣魚攻擊。
“我們已經(jīng)認(rèn)為所有的DigiNotar證書都不可靠,并將它們移到不信任證書中存儲(Untrusted Certificate Store),”微軟可信賴計算主任Dave Forstrom在微軟安全響應(yīng)中心博客中這樣寫道,“我們認(rèn)識到,這是一個行業(yè)的問題,我們一直積極在與證書授予機構(gòu),政府和軟件廠商合作,以幫助保護(hù)我們共同的客戶。”
微軟針對荷蘭用戶的自動更新還要等一個星期。Mozilla和谷歌也采取了類似的措施,以阻止流氓數(shù)字證書。
“這不是一個暫時的停止,我們是將它完全從我們信任的根方案中清除了,”Firefox的工程總監(jiān)Jonathan Nightingale在Mozilla的安全博客中這樣寫道,“完全撤銷信任是我們慎重考慮后作出的決定,這也是我們最后的手段。”
之所以徹底清除受信任的根是因為泄漏的范圍仍不明確,Nightingale解釋道。此外,DigiNotar撤銷了未通知Mozilla的欺詐性證書。
在9月3日發(fā)布的更新中,谷歌表示它已經(jīng)拒絕了由DigiNotar進(jìn)行的所有證書授予。“我們期望DigiNotar可以提供一份完整的情況分析,”谷歌信息安全經(jīng)理Heather Adkins這樣寫道。
Fox-IT的報告,由荷蘭政府發(fā)布,報告中發(fā)現(xiàn)了DigiNotar嚴(yán)重的網(wǎng)絡(luò)問題。
“所有CA服務(wù)器都在一個Windows域,這使得通過一個用戶名/密碼組合就可以訪問所有的服務(wù)器,”據(jù)DigiNotar泄漏報告,該報告可在荷蘭政府網(wǎng)站Rijksoverheid上查看。“密碼不是很強,而且容易被暴力破解。”
此外,審計調(diào)查發(fā)現(xiàn)DigiNotar公共Web服務(wù)器上安裝過時的軟件。目前被調(diào)查的服務(wù)器上沒有防病毒保護(hù),F(xiàn)ox-IT補充道。
從黑客活動留下的痕跡來看,可能來自伊朗,從6月19日持續(xù)到7月22日。攻擊者們發(fā)出了數(shù)百個流氓證書,包括針對谷歌,Skype,Mozilla附加組件,微軟更新和其他的SSL證書。
【編輯推薦】