DigiNotar — различия между версиями

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 20:49, 14 июня 2019.
(Хронология событий)
(Метки: Правка с моб. устройства, Правка через мобильную версию сайта)
 
Строка 17: Строка 17:
 
|owner = VASCO Data Security International
 
|owner = VASCO Data Security International
 
|subsid          =  
 
|subsid          =  
|homepage        = {{URL|http://www.diginotar.nl/}}
+
|homepage        = {{URL|diginotar.nl}}
 
|foundation      = 1998 год
 
|foundation      = 1998 год
 
}}
 
}}
  
'''DigiNotar''' - голландский центр сертификации, который принадлежал компании VASCO Data Security International.  
+
'''DigiNotar''' голландский центр сертификации, который принадлежал компании VASCO Data Security International.  
  
 
== История ==
 
== История ==
 
 
Компания "DigiNotar" была основана в 1998 году голландским нотариусом Диком Батенбургом из Бевервейка и Королевским обществом нотариусов. Являлась универсальным центром сертификации, однако основной ориентацией являлся рынок нотариусов и других специалистов.
 
Компания "DigiNotar" была основана в 1998 году голландским нотариусом Диком Батенбургом из Бевервейка и Королевским обществом нотариусов. Являлась универсальным центром сертификации, однако основной ориентацией являлся рынок нотариусов и других специалистов.
  
Строка 39: Строка 38:
  
 
== Взлом ==
 
== Взлом ==
 
 
DigiNotar стал жертвой сетевой атаки, заключавшейся в подделке цифровых сертификатов. Это привело его к банкротству.   
 
DigiNotar стал жертвой сетевой атаки, заключавшейся в подделке цифровых сертификатов. Это привело его к банкротству.   
 
   
 
   
Строка 59: Строка 57:
  
 
=== Подробности атаки ===
 
=== Подробности атаки ===
 
 
В ходе расследования были обнаружены следы, которые указывали, что атака на DigiNotar была начата 17 июня 2011 года. Веб-серверы внешней демилитаризованной зоны сети DigiNotar (DMZ-ext-net) были первой точкой входа злоумышленника. Во время вторжения эти серверы использовались для обмена файлами между внутренними и внешними серверами. Данный обмен осуществлялся при помощи простых скриптов (aspx-скрипты), выполнявших функцию рудиментарного файлового менеджера. Восстановленные log-файлы (изначально они были подделаны злоумышленниками) показали список из 12 внутренних и 21 внешних систем, которые подключались к этим скриптам, а также список из более чем 100 уникальных файлов, которые были заменены.  
 
В ходе расследования были обнаружены следы, которые указывали, что атака на DigiNotar была начата 17 июня 2011 года. Веб-серверы внешней демилитаризованной зоны сети DigiNotar (DMZ-ext-net) были первой точкой входа злоумышленника. Во время вторжения эти серверы использовались для обмена файлами между внутренними и внешними серверами. Данный обмен осуществлялся при помощи простых скриптов (aspx-скрипты), выполнявших функцию рудиментарного файлового менеджера. Восстановленные log-файлы (изначально они были подделаны злоумышленниками) показали список из 12 внутренних и 21 внешних систем, которые подключались к этим скриптам, а также список из более чем 100 уникальных файлов, которые были заменены.  
  
Строка 68: Строка 65:
  
 
==== Сеть DigiNotar ====  
 
==== Сеть DigiNotar ====  
 
 
Сеть DigiNotar была разделена на 24 различных сегмента внутренней сети. Внутренняя и внешняя демилитаризованная зона (DMZ) отделяют большинство сегментов внутренней сети от Интернета. Для каждой из зон (рисунок 1) не было описания строгого применения, а брандмауэр содержал много правил-исключений для сетевого трафика между различными сегментами. Основные производственные серверы DigiNotar, включая серверы центров сертификации и соответствующий модуль аппаратного обеспечения безопасности (netHSM), были расположены в физически защищенном помещении и в сегменте защищенной сети. Центры сертификации, которые были размещены в DigiNotar, управлялись программным обеспечением, работающим на восьми различных серверах. <ref group="Источник"  name="Источник 4"> Report of the investigation into the DigiNotar Certificate Authority breach // Security Research at the University of Trento [2016 — ]. Дата обновления: 09.06.2019. URL: https://securitylab.disi.unitn.it/lib/exe/fetch.php?media=teaching:offtech:2014:black-tulip-update.pdf (дата обращения: 09.06.2019).</ref>
 
Сеть DigiNotar была разделена на 24 различных сегмента внутренней сети. Внутренняя и внешняя демилитаризованная зона (DMZ) отделяют большинство сегментов внутренней сети от Интернета. Для каждой из зон (рисунок 1) не было описания строгого применения, а брандмауэр содержал много правил-исключений для сетевого трафика между различными сегментами. Основные производственные серверы DigiNotar, включая серверы центров сертификации и соответствующий модуль аппаратного обеспечения безопасности (netHSM), были расположены в физически защищенном помещении и в сегменте защищенной сети. Центры сертификации, которые были размещены в DigiNotar, управлялись программным обеспечением, работающим на восьми различных серверах. <ref group="Источник"  name="Источник 4"> Report of the investigation into the DigiNotar Certificate Authority breach // Security Research at the University of Trento [2016 — ]. Дата обновления: 09.06.2019. URL: https://securitylab.disi.unitn.it/lib/exe/fetch.php?media=teaching:offtech:2014:black-tulip-update.pdf (дата обращения: 09.06.2019).</ref>
  
Строка 165: Строка 161:
  
 
=== Средства взлома ===
 
=== Средства взлома ===
 
 
Был найден ряд вредоносных / хакерских программных инструментов, таких как инструменты сканирования, перенаправители портов (port redirectors) и инструменты удаленного выполнения процессов. Кроме того, было найдено несколько файлов, которые указывали, что злоумышленник пытался использовать «грубую силу» - службы терминала или учетные данные удаленного рабочего стола.  
 
Был найден ряд вредоносных / хакерских программных инструментов, таких как инструменты сканирования, перенаправители портов (port redirectors) и инструменты удаленного выполнения процессов. Кроме того, было найдено несколько файлов, которые указывали, что злоумышленник пытался использовать «грубую силу» - службы терминала или учетные данные удаленного рабочего стола.  
  

Текущая версия на 20:49, 14 июня 2019

DigiNotar
Дочерняя компания
Founded 1998 год
Founder Дик Батенбург, Королевское общество нотариусов
Products Сертификаты открытого ключа
Owner VASCO Data Security International
Website diginotar.nl

DigiNotar – голландский центр сертификации, который принадлежал компании VASCO Data Security International.

История

Компания "DigiNotar" была основана в 1998 году голландским нотариусом Диком Батенбургом из Бевервейка и Королевским обществом нотариусов. Являлась универсальным центром сертификации, однако основной ориентацией являлся рынок нотариусов и других специалистов.

10 января 2011 года компания была продана VASCO Data Security International. [Источник 1]

20 сентября 2011 года VASCO объявил, что его дочерняя компания DigiNotar была объявлена ​​банкротом после подачи заявления о добровольном банкротстве в Гарлемском суде. [Источник 2]

Услуги

DigiNotar предлагала услуги по внедрению электронных услуг в бизнес, а именно - выдача цифровых сертификатов.

Всего было два типа сертификатов.

  • Сертификаты DigiNotar (где главным центром сертификации был «DigiNotar Root CA»).
  • Сертификаты PKIoverheid (для правительства Нидерландов). Эта выдача осуществлялась через два промежуточных сертификата, каждый из которых был связан с одним из двух главных центров сертификации «Staat der Nederlanden». [Источник 3]

Взлом

DigiNotar стал жертвой сетевой атаки, заключавшейся в подделке цифровых сертификатов. Это привело его к банкротству.

Хронология событий

События развивались следующим образом:[Источник 4] [Источник 5]

  • 17 июня 2011. Начало хакерской атаки.
  • 1 июля 2011. Получение злоумышленником доступа к сегменту сети Secure-net.
  • 2 июля 2011. Первые попытки получить поддельные сертификаты.
  • 10 июля 2011.Успешная выдача первого поддельного сертификата.
  • 19 июля 2011. Обнаружение 128 мошеннических сертификатов во время ежедневной проверки безопасности. Немедленный отзыв данных сертификатов.
  • 20 июля 2011. В ходе анализа выявлено еще 129 сертификатов. Найден скрипт злоумышленника.
  • 21 июля 2011. Отзыв сертификатов, найденных 20 июля. Сервера центров сертификации ключей были отключены на ночь.
  • 22 июля 2011. Завершение хакерской деятельности.
  • 25 июля 2011. Проведена консультация со сторонней фирмой, специализирующейся на информационной безопасности.
  • 27 июля 2011. Отчет показал, что сервера были скомпрометирован путем использования известной уязвимости в программном обеспечении DotNetNuke и взломаны. Отзыв еще 75 сертификатов.
  • 28 июля 2011. DigiNotar обнаружил, что сертификаты пытаются использовать главным образом с иранских IP-адресов.
  • 29 июля 2011. Обнаружен и отозван выпущенный злоумышленниками сертификат google.com, который использовался в крупномасштабной MITM атаке.

Подробности атаки

В ходе расследования были обнаружены следы, которые указывали, что атака на DigiNotar была начата 17 июня 2011 года. Веб-серверы внешней демилитаризованной зоны сети DigiNotar (DMZ-ext-net) были первой точкой входа злоумышленника. Во время вторжения эти серверы использовались для обмена файлами между внутренними и внешними серверами. Данный обмен осуществлялся при помощи простых скриптов (aspx-скрипты), выполнявших функцию рудиментарного файлового менеджера. Восстановленные log-файлы (изначально они были подделаны злоумышленниками) показали список из 12 внутренних и 21 внешних систем, которые подключались к этим скриптам, а также список из более чем 100 уникальных файлов, которые были заменены.

После взлома веб-серверов DMZ-ext-net злоумышленник первым делом получил доступ к серверам сети Office-net с помощью сервера MSSQL. С 17 июня устанавливались подключения к базам данных Office-net из DMZ-extnet-net. Первое несанкционированное соединение, которое было идентифицировано из Office-net в DMZ-ext-net, произошло 29 июня 2011 года. Это является указателем на способность злоумышленника подключаться к удаленному рабочему столу с серверов в сети DMZ-ext-net - то есть, на расширение доступной злоумышленнику области до сети Office-net.

Сеть Secure-net с серверами, выдающими сертификаты была поражена 1 июля 2011 года. Там были установлены программы для туннелирования трафика по протоколу Remote Desktop Protocol. [Источник 5]


Сеть DigiNotar

Сеть DigiNotar была разделена на 24 различных сегмента внутренней сети. Внутренняя и внешняя демилитаризованная зона (DMZ) отделяют большинство сегментов внутренней сети от Интернета. Для каждой из зон (рисунок 1) не было описания строгого применения, а брандмауэр содержал много правил-исключений для сетевого трафика между различными сегментами. Основные производственные серверы DigiNotar, включая серверы центров сертификации и соответствующий модуль аппаратного обеспечения безопасности (netHSM), были расположены в физически защищенном помещении и в сегменте защищенной сети. Центры сертификации, которые были размещены в DigiNotar, управлялись программным обеспечением, работающим на восьми различных серверах. [Источник 5]

Рисунок 1 - Зоны безопасности сети DigiNotar.

Ниже представлен список сегментов сети на 30 августа 2011.

Имя сети Описание
DMZ-old-net Старая DMZ-сеть
DMZ-ext-net Внешняя DMZ-сеть
DMZ-ext-closed-net Внешняя закрытая DMZ-сеть
DMZ-ext-vpn-net VPN-сеть
DMZ-ext-vasco-net Внешняя DMZ-сеть VASCO
Production-net Защищенная производственная сеть
DMZ-int-net Внутренняя DMZ-сеть
Admin-net Сеть управления
Acceptance-net Прием-сеть
Test-net Тест-сеть
Develop-net Сеть разработки
Office-new-net Новая офисная сеть
Vasco-net Связь с сетью VASCO
Iscsi-net Внутренняя ISCSI-сеть
Office-new-net Новая офисная сеть
Iscsi-colo-net Аппаратный хостинг - ISCSI DMZ-сеть
Office-net Офисная сеть и временная сеть
Hosted1-old-net Старая сеть "hosted1"
Hosted3-old-net Старая сеть "hosted3"
Secure-net Защищенная сеть, определяющая местонахождение центров сертификации и netHSM
DMZ-ext-colo-net Аппаратный хостинг - внешняя DMZ-сеть
DMZ-int-colo-net Аппаратный хостинг - внутренняя DMZ-сеть
Secure-colo-net Аппаратный хостинг - защищенная сеть
Office-colo-net Аппаратный хостинг - офисная сеть
Sync-1-net Первая сеть синхронизации FireWall-1
Ext-net Внешние адреса сети
Firewall-mgmt-net Удаленный доступ для управления брандмауэром

На рисунке 2 можно увидеть, как была устроена сеть DigiNotar.

Рисунок 2 - Сеть DigiNotar.

Средства взлома

Был найден ряд вредоносных / хакерских программных инструментов, таких как инструменты сканирования, перенаправители портов (port redirectors) и инструменты удаленного выполнения процессов. Кроме того, было найдено несколько файлов, которые указывали, что злоумышленник пытался использовать «грубую силу» - службы терминала или учетные данные удаленного рабочего стола.

Следы в каталоге «Документы и настройки» на одном из серверов показали, что злоумышленник использовал учетную запись пользователя MSSQL, начиная с 17 июня 2011 года. Эта учетная запись, которая, вероятно, имела права локального администратора, использовалась службой Microsoft SQL, работающей на том сервере (BAPI-db).

На одном из серверов (CCV-CA) был установлен инструмент Cain & Abel с winpcap. Этот инструмент мог быть использован для извлечения и взлома хэшей паролей. Также были найдены инструменты pwdump и cachedump.exe.

Также были найдены файлы, являющиеся частью инструмента аудита безопасности mimikatz. Исследования показали, что злоумышленник вошел в систему как администратор и загрузил файл mimi.zip. [Источник 5]

Источники

  1. VASCO Data Security International, Inc. Announces the Acquisition of DigiNotar B.V., a Market Leader in Internet Trust Services in The Netherlands // VASCO // web.archive [1996 — ]. Дата обновления: 08.06.2019. URL: https://web.archive.org/web/20110917092647/http://www.vasco.com/company/press_room/news_archive/2011/acquisition_diginotar.aspx (дата обращения: 08.06.2019).
  2. VASCO Announces Bankruptcy Filing by DigiNotar B.V. // VASCO // web.archive [1996 — ]. Дата обновления: 08.06.2019. URL: https://web.archive.org/web/20110923180445/http://www.vasco.com/company/press_room/news_archive/2011/news_vasco_announces_bankruptcy_filing_by_diginotar_bv.aspx# (дата обращения: 08.06.2019).
  3. DigiNotar // web.archive [1996 — ]. Дата обновления: 09.06.2019. URL: https://web.archive.org/web/20110831055843/http://www.diginotar.nl/Klantenservice/Rootcertificaten/tabid/308/Default.aspx# (дата обращения: 09.06.2019).
  4. Prior investigations // Investigations // Rijksoverheid [ — ]. Дата обновления: 09.06.2019. URL: https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2011/09/05/diginotar-public-report-version-1/rapport-fox-it-operation-black-tulip-v1-0.pdf (дата обращения: 09.06.2019).
  5. 5,0 5,1 5,2 5,3 Report of the investigation into the DigiNotar Certificate Authority breach // Security Research at the University of Trento [2016 — ]. Дата обновления: 09.06.2019. URL: https://securitylab.disi.unitn.it/lib/exe/fetch.php?media=teaching:offtech:2014:black-tulip-update.pdf (дата обращения: 09.06.2019).