DigiNotar CA泄漏范圍擴大 微軟及荷蘭政府采取行動
荷蘭政府發布分析DigiNotar公司服務器的審計報告后,本周荷蘭證書授予機構DigiNotar的泄漏范圍擴大,報告顯示了該公司不同CA服務器中的重大安全失誤。
該報告由IT安全公司Fox-IT編寫,他們發現DigiNotar網絡已經“嚴重泄漏”并感染了超過二十臺CA服務器。破壞的程度大大提高,CA服務器已發出了數以百計的針對20個不同領域簽署的流氓證書。
一些專家表示,泄漏的嚴重性提醒了我們關于損壞證書系統的問題。一個總部設在英國的安全廠商,Sophos有限責任公司的高級安全顧問Chester Wisniewski表示,企業的首席信息安全官們(CISOs)需要了解他們的組織如何使用SSL證書,并提出應急計劃以應對證書供應商的泄漏事故。除了在瀏覽器中使用SSL來驗證網站的真實性,許多企業使用數字證書來驗證SSL VPN和電子郵件服務器用戶的身份。
“企業需要知道,如果他們的SSL VPN打斷了用戶或他們的電子商務系統讓他們用戶的業務衰退了(if their SSL VPN would break for their users or if their e-commerce system would falter with their customers),他們應該做些什么?”Wisniewski說道,“問問你自己,是否有一個可供選擇的方案?”
企業可以從多個證書授予機構獲得證書,從而使得一旦一臺CA服務器泄漏了,他們還可以有一個確保網站驗證的后備方案。替代當前系統的方案還在測試中,但直到谷歌,微軟和Mozilla開始支持替代的真偽驗證系統前,該系統是不可能改變的。Fox-IT報告促使瀏覽器制造商將DigiNotar證書拉入黑名單。
本周二,微軟更新了它的安全公告,推出了針對支持所有Windows版本的自動更新,撤銷對DigiNotar根證書的信任。微軟表示,這保護了IE用戶免受中間人攻擊。流氓數字證書可以讓攻擊者制造假內容并執行網絡釣魚攻擊。
“我們已經認為所有的DigiNotar證書都不可靠,并將它們移到不信任證書中存儲(Untrusted Certificate Store),”微軟可信賴計算主任Dave Forstrom在微軟安全響應中心博客中這樣寫道,“我們認識到,這是一個行業的問題,我們一直積極在與證書授予機構,政府和軟件廠商合作,以幫助保護我們共同的客戶。”
微軟針對荷蘭用戶的自動更新還要等一個星期。Mozilla和谷歌也采取了類似的措施,以阻止流氓數字證書。
“這不是一個暫時的停止,我們是將它完全從我們信任的根方案中清除了,”Firefox的工程總監Jonathan Nightingale在Mozilla的安全博客中這樣寫道,“完全撤銷信任是我們慎重考慮后作出的決定,這也是我們最后的手段。”
之所以徹底清除受信任的根是因為泄漏的范圍仍不明確,Nightingale解釋道。此外,DigiNotar撤銷了未通知Mozilla的欺詐性證書。
在9月3日發布的更新中,谷歌表示它已經拒絕了由DigiNotar進行的所有證書授予。“我們期望DigiNotar可以提供一份完整的情況分析,”谷歌信息安全經理Heather Adkins這樣寫道。
Fox-IT的報告,由荷蘭政府發布,報告中發現了DigiNotar嚴重的網絡問題。
“所有CA服務器都在一個Windows域,這使得通過一個用戶名/密碼組合就可以訪問所有的服務器,”據DigiNotar泄漏報告,該報告可在荷蘭政府網站Rijksoverheid上查看。“密碼不是很強,而且容易被暴力破解。”
此外,審計調查發現DigiNotar公共Web服務器上安裝過時的軟件。目前被調查的服務器上沒有防病毒保護,Fox-IT補充道。
從黑客活動留下的痕跡來看,可能來自伊朗,從6月19日持續到7月22日。攻擊者們發出了數百個流氓證書,包括針對谷歌,Skype,Mozilla附加組件,微軟更新和其他的SSL證書。
【編輯推薦】
