今年3月入侵Comodo憑證機構的伊朗駭客ComodoHacker本周透過Pastebin宣布,他不但是駭進Comodo的元兇,也入侵其他4家高知名度的憑證機構,包括DigiNotar、StartCom與GlobalSign在內。GlobalSign在得知此事後,已暫時停止憑證的發放,並展開全面調查。

今年8月底,網路上出現由DigiNotar憑證所頒發的假Google憑證,而使得此一事件曝光。調查後發現,駭客人侵DigiNotar至少頒發了涉及20個網域的500個憑證,由於假憑證數量與範圍仍不明,因此包括Google與Mozilla皆已更新旗下的產品,暫時停止信任由DigiNotar所發佈的所有憑證。

這些假冒的憑證波及了Google、Facebook、微軟、Yahoo、Skype、荷蘭政府網站,以及美/英/以色列的情報單位。

ComodoHacker表示,他入侵DigiNotar並偽造荷蘭政府機構憑證是為了報復荷蘭政府在16年前以8000名回教徒交換30名荷蘭士兵,而且賽爾維亞人在同一天殺害了這8000名回教徒。DigiNotar為一位於荷蘭的小型認證機構,荷蘭政府已得知此事,並正擴大調查中。

ComodoHacker計畫公布人侵這些憑證機構的細節,包括他如何進入DigiNotar的第6層網路,如何找到密碼,如何取得系統權限,繞過安全機構與硬體金鑰,以讓大家了解該攻擊的複雜度,而這將是一個絕佳的駭客課程。他甚至公布了進入DigiNotar系統的使用者名稱與密碼,並且留下電子郵件帳號歡迎媒體專訪。

即使ComodoHacker強調荷蘭政府16年前的過錯,文中也未談及任何組織行動。不過,今年3月遭到Comodohacker入侵的Comodo執行長Melih Abdulhayoglu在接受媒體訪問時,直指Comodohacker的背後有政府的支撐,而且相關攻擊將不會停止。

Google的調查顯示,近日所發現以假冒的DigiNotar憑證針對Google用戶所進行的中間人(man-in-the-middle)攻擊的被害者主要位於伊朗;趨勢科技的研究亦發現,伊朗境內40個不同的ISP或學校網路都曾遭遇DigiNotar頒發的假憑證,同時伊朗也發生了大規模的中間人攻擊。

趨勢科技偵測用來檢驗DigiNotar憑證的validation.diginotar.nl網站流量,發現今年8月30日前,主要的流量都來自於荷蘭及伊朗,由於DigiNotar為荷蘭憑證業者,因此該站大多數的流量自然以荷蘭為主,但會有大量來自伊朗的流量則令人匪夷所思,當業者發現DigiNotar遭駭並採取補救措施後,幾乎所有來自伊朗的流量都消失了。

荷蘭資安業者Fox-IT則指出,從今年8月初到8月底之間,約有30萬個獨立的IP位址以假冒的憑證存取google.com,其中超過99%都來自伊朗境內。

Fox-IT亦揭露了DigiNotar的安全問題,指出DigiNotar網路多次遭駭,且駭客所使用與安裝的工具都能被標準的防毒軟體所偵測到,代表DigiNotar明顯缺乏安全程序。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容