เกิดอะไรขึ้นกับ DigiNotar รายงานสำรวจแถลงบอกรายละเอียดการแฮก

[ไทยสกู๊ตเตอร์]

ปัญหาการทำใบรับรองปลอมจาก DigiNotar สร้างความกังวลทั่วโลกว่าระบบใบรับรองทุกวันนี้มีควา มน่าเชื่อถือเพียงใด รายงานการสำรวจความเสียหายโดยบริษัท Fox IT เพื่อส่งให้กับกระทรวงมหาดไทยของเนเธอร์แลนด์ได้รายง านถึงกระบวนการที่แฮกเกอร์เข้ามาสร้างใบรับรองปลอมจำ นวน 531 ใบ
เครือข่ายของ DigiNotar ภายในแบ่งออกเป็น 24 ส่วน เซิร์ฟเวอร์สำหรับสร้างใบรับรองที่ติดตั้งสมาร์ตการ์ ดที่ใช้รับรองนั้นตั้งอยู่ในห้องรักษาความปลอดภัยสูง แยกออกไป
การบุกรุกครั้งแรกเกิดขึ้นในวันที่ 17 มิถุนายน 2011 จากเว็บเซิร์ฟเวอร์หลัก จากบั๊กความปลอดภัยใน DotNetNuke ที่ไม่ได้อัพเดตมาวางไฟล์ setting.aspx และ up.aspx เพื่ออัพโหลดโปรแกรมอื่นๆ จากนั้นจึงต่อเข้าไปยังเซิร์ฟเวอร์หลังไฟร์วอลล์ผ่าน ทางเซิร์ฟเวอร์ MSSQL เผื่อทะลุเข้าไปยังเครือข่ายของสำนักงาน จากนั้นอีกสิบกว่าวัน แฮกเกอร์สแกนเครือข่ายจนได้ช่องทำ tunnel จากพอร์ต 443 เข้าไปยังเครือข่าย DMZ-ext ที่แยกออกจากเครือข่ายของเว็บเซิร์ฟเวอร์
แฮกเกอร์แฮกเครื่อง CA ได้ครั้งแรกในวันที่ 1 กรกฎาคม 2011 และเริ่มเข้าควบคุมซอฟต์แวร์จัดการใบรับรองได้ในวันท ี่ 2 จากนั้นจึงวางเครื่องมือเพื่อถ่ายโอนไฟล์ออกไปอัตโนม ัติในวันที่ 4
วันที่ 10 กรกฎาคม 2011 ใบรับรองชุดแรกเริ่มถูกรับรอง รวมรายการดังนี้

• 10 กรกฎาคม 2011: 85 ใบจากเซิร์ฟเวอร์ Relation-CA
• 10 กรกฎาคม 2011: 198 ใบจากเซิร์ฟเวอร์ Public-CA
• 18 กรกฎาคม 2011: 124 ใบจากเซิร์ฟเวอร์ Public-CA
• 20 กรกฎาคม 2011: 124 ใบจากเซิร์ฟเวอร์ Public-CA

แฮกเกอร์ทดสอบใบรับรองใบแรกที่ได้มา คือ login.yahoo.com ในทันทีและพบว่าใช้งานได้ดี
ทาง DigiNotar ทดสอบระบบตามรอบการทดสอบ แล้วพบใบรับรองผิดปกติในวันที่ 19 กรกฎาคม 2011 แล้วยกเลิกใบรับรองปลอมพร้อมกับตั้งทีมสอบสวนภายใน จากนั้นจึงไล่ยกเลิกใบรับรองอีกสองชุดในวันที่ 21 และ 27 กรกฎาคม 2011 ทาง DigiNotar คิดว่าใบรับรองทั้งหมดถูกยกเลิกแล้ว และปัญหาได้รับการแก้ไขแล้ว ทางบริษัทไม่ได้แถลงข่าวเรื่องนี้ต่อสาธารณะ
เริ่มพบการใช้งานหลังวันที่ 4 สิงหาคม 2011 จำนวนมากจากอิหร่าน และกูเกิลรับรู้ปัญหานี้ในวันที่ 28 สิงหาคม 2011 จากผู้ใช้ในอิหร่านที่พบว่า Google Chrome แจ้งเดือนใบรับรองปลอม (เพราะ Chrome ล็อกไว้ว่าใบรับรองของกูเกิลจะออกจากผู้ให้บริการราย ใดได้บ้าง) ปรากฎว่าเป็นใบรับรอง *.google.com ที่ไม่ปรากฎในฐานข้อมูลของ DigiNotar ทำให้ทางบริษัทต้องสร้างใบรับรองขึ้นใหม่เพื่อเพื่อย กเลิกไปในวันที่ 29 สิงหาคม 2011
แต่หลังจากข่าวแพร่ออกไป ความไว้ใจใน DigiNotar ก็หมดลง เบราว์เซอร์หลังแทบทุกตัวถอนในรับรองของ DigiNotar ออก ในวันที่ 19 กันยายน 2011 ทาง DigiNotar ก็ยื่นล้มละลาย และได้รับอนุมัติในวันต่อมา
ที่มา - rijksoverheid.nl: Black Tulip Update


อ่านต่อ...