ปัญหาการทำใบรับรองปลอมจาก DigiNotar สร้างความกังวลทั่วโลกว่าระบบใบรับรองทุกวันนี้มีความน่าเชื่อถือเพียงใด รายงานการสำรวจความเสียหายโดยบริษัท Fox IT เพื่อส่งให้กับกระทรวงมหาดไทยของเนเธอร์แลนด์ได้รายงานถึงกระบวนการที่แฮกเกอร์เข้ามาสร้างใบรับรองปลอมจำนวน 531 ใบ
เครือข่ายของ DigiNotar ภายในแบ่งออกเป็น 24 ส่วน เซิร์ฟเวอร์สำหรับสร้างใบรับรองที่ติดตั้งสมาร์ตการ์ดที่ใช้รับรองนั้นตั้งอยู่ในห้องรักษาความปลอดภัยสูงแยกออกไป
การบุกรุกครั้งแรกเกิดขึ้นในวันที่ 17 มิถุนายน 2011 จากเว็บเซิร์ฟเวอร์หลัก จากบั๊กความปลอดภัยใน DotNetNuke ที่ไม่ได้อัพเดตมาวางไฟล์ setting.aspx และ up.aspx เพื่ออัพโหลดโปรแกรมอื่นๆ จากนั้นจึงต่อเข้าไปยังเซิร์ฟเวอร์หลังไฟร์วอลล์ผ่านทางเซิร์ฟเวอร์ MSSQL เผื่อทะลุเข้าไปยังเครือข่ายของสำนักงาน จากนั้นอีกสิบกว่าวัน แฮกเกอร์สแกนเครือข่ายจนได้ช่องทำ tunnel จากพอร์ต 443 เข้าไปยังเครือข่าย DMZ-ext ที่แยกออกจากเครือข่ายของเว็บเซิร์ฟเวอร์
แฮกเกอร์แฮกเครื่อง CA ได้ครั้งแรกในวันที่ 1 กรกฎาคม 2011 และเริ่มเข้าควบคุมซอฟต์แวร์จัดการใบรับรองได้ในวันที่ 2 จากนั้นจึงวางเครื่องมือเพื่อถ่ายโอนไฟล์ออกไปอัตโนมัติในวันที่ 4
วันที่ 10 กรกฎาคม 2011 ใบรับรองชุดแรกเริ่มถูกรับรอง รวมรายการดังนี้
- 10 กรกฎาคม 2011: 85 ใบจากเซิร์ฟเวอร์ Relation-CA
- 10 กรกฎาคม 2011: 198 ใบจากเซิร์ฟเวอร์ Public-CA
- 18 กรกฎาคม 2011: 124 ใบจากเซิร์ฟเวอร์ Public-CA
- 20 กรกฎาคม 2011: 124 ใบจากเซิร์ฟเวอร์ Public-CA
แฮกเกอร์ทดสอบใบรับรองใบแรกที่ได้มา คือ login.yahoo.com ในทันทีและพบว่าใช้งานได้ดี
ทาง DigiNotar ทดสอบระบบตามรอบการทดสอบ แล้วพบใบรับรองผิดปกติในวันที่ 19 กรกฎาคม 2011 แล้วยกเลิกใบรับรองปลอมพร้อมกับตั้งทีมสอบสวนภายใน จากนั้นจึงไล่ยกเลิกใบรับรองอีกสองชุดในวันที่ 21 และ 27 กรกฎาคม 2011 ทาง DigiNotar คิดว่าใบรับรองทั้งหมดถูกยกเลิกแล้ว และปัญหาได้รับการแก้ไขแล้ว ทางบริษัทไม่ได้แถลงข่าวเรื่องนี้ต่อสาธารณะ
เริ่มพบการใช้งานหลังวันที่ 4 สิงหาคม 2011 จำนวนมากจากอิหร่าน และกูเกิลรับรู้ปัญหานี้ในวันที่ 28 สิงหาคม 2011 จากผู้ใช้ในอิหร่านที่พบว่า Google Chrome แจ้งเดือนใบรับรองปลอม (เพราะ Chrome ล็อกไว้ว่าใบรับรองของกูเกิลจะออกจากผู้ให้บริการรายใดได้บ้าง) ปรากฎว่าเป็นใบรับรอง *.google.com ที่ไม่ปรากฎในฐานข้อมูลของ DigiNotar ทำให้ทางบริษัทต้องสร้างใบรับรองขึ้นใหม่เพื่อยกเลิกไปในวันที่ 29 สิงหาคม 2011
แต่หลังจากข่าวแพร่ออกไป ความไว้ใจใน DigiNotar ก็หมดลง เบราว์เซอร์หลักแทบทุกตัวถอนใบรับรองของ DigiNotar ออก ในวันที่ 19 กันยายน 2011 ทาง DigiNotar ก็ยื่นล้มละลาย และได้รับอนุมัติในวันต่อมา
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
ยังกับอ่านนิยายจารกรรมอยู่
PanJ's Blog
ใครทำกันเนี่ย เทพก็เทพ แต่ก็สงสารบริษัทนี้ เหมือนดูหนัง
ทาง DigiNotar ทดสอบระบบตาม"รอบ"การทดสอบ = "ตามรอย"
สร้างใบรับรองขึ้นใหม่"เพื่อเพื่อ"ยกเลิกไปในวันที่ 29 สิงหาคม 2011 = "เพื่อ"
ใช่ป่าวครับ
แจ้งเดือน => แจ้งเตือน
เบราว์เซอร์หลังแทบทุกตัวถอนในรับรองของ DigiNotar ออก
เบราว์เซอร์หลัก รึเปล่าครับ
[การบุกรุกครั้งแรกเกิดขึ้นในวันที่ 17 มิถุนายน 2011 จากเว็บเซิร์ฟเวอร์หลัก จากบั๊กความปลอดภัยใน DotNetNuke ที่ไม่ได้อัพเดต]
ความผิดที่ไม่ควรให้อภัย
โฮ้ว โดนแฮก ไม่กี่ใบ ล้มละลายเลย
มันเป็นเรื่องความน่าเชื่อถือครับ เป็นบริษัทด้านความปลอดภัยของข้อมูลกลับโดนแฮ็คซะเอง เป็นใครก็ไม่อยากใช้บริการต่อแล้วล่ะครับ ก็เหมือนกับบริษัทรักษาความปลอดภัย ที่ส่ง รปภ. ไปประจำที่ต่าง ๆ แต่ตัวบริษัทถูกโจรบุกซะเอง ถ้าลูกค้ารู้เรื่อง ก็คงไม่จ้างต่อแล้วล่ะครับ
"ผ่านทางเซิร์ฟเวอร์ MSSQL เผื่อทะลุเข้า" กำลังมันอ่านต่อก่อน
มันคล้ายๆเรื่องราวของทองหรือเปล่า คนไว้ใจว่ามันเป็นที่สุดแล้ว
อ่านแล้วรู้สึกสงสารมาก
ประเด็นคือ ใช้ผลิตภัณฑ์ของ MSSQL ดีนะที่ไม่เลือกใช้เลย
คำตอบของข้า คือ ประกาศิต