חברת DigiNotar ההולנדית היא חברה שמייצרת תעודות (CA) עבור אתרים שונים, כולל חברות ועסקים הולנדיים. מטבע הדברים, תעודות SSL צריכות להיות מיוצרות על-ידי חברה שאבטחת המידע בראש מעייניה, אולם כפי הנראה, DigiNotar לא ממש מבינה באבטחה. תוקפים, על פי הממצאים - איראנים, פרצו לאתר שלהם. מה לאיראנים ולתעודות SSL מזויפות? הרי לא ניתן להשתמש בתעודות האלו מול כל העולם, מכיוון שהדפדפן פונה לכתובת האתר של ג'ימייל (במקרה של gmail.com ומבקש "לראות" את התעודה מג'ימייל, לא מהתוקף). התשובה פשוטה: האיראנים מאוד מעוניינים במידע על תושבים שונים, מידע על המייל, עם מי הם מתכתבים.

ההתקפה עובדת על ידי הרעלה (Poisoning) של שרתי ה DNS שבהם משתמשים אותם משתמשי קצה. כאשר משתמש מבקש לגשת לאתר באינטרנט, הבקשה שלו מופנית לשרתי ה-DNS של ספק האינטרנט שלו, שבתורו מעדכן את הכתובת של האתר המבוקש. התוקף, או על ידי פריצה /או שיתוף פעולה, משנה את כתובת האתרים שיעברו קודם דרך שרתים עוינים לטובת איסוף סיסמאות, לאחר מכן המשתמש מועבר לאתר האמיתי שהוא מחפש. ככל הידוע עד כה כ-300,0000 משתמשים איראנים "נפלו בפח" ועברו בדרכם לשרתי ג'ימייל דרך שרתים שהקים ככל הנראה "האח הגדול" האיראני .

הכשל באבטחה של DigiNotar מתעצם כשפרטים נוספים מתגלים. מספר שרתים נפרצו, האקרים השיגו הרשאות אדמיניסטרטיביות לשרתי האינטרנט, ולשרתי ה-CA. העדויות מראות על פעילות שהתקיימה בין ה-17-22 לאוגוסט. כמו כן, במהלך הימים האלו הוחתמו 531 סרטיפיקטים פיקטיביים!

בדו"ח של חברת האבטחה Fox-IT, שהוזמן על ידי ממשלת הולנד, נמצא כי תשתית הרשת של DigiNotar חסרה מנגנוני הגנה בסיסית. באופן ספציפי, החקירה מצאה כי השרתים הקריטיים ביותר הכילו תוכנות זדוניות, היו נגישים דרך רשת תקשורת מקומית והיו מוגנים על ידי סיסמאות פריצות. בנוסף, השרתים הכילו מערכות לא מעודכנות "unpatched" ונטולות הגנות אנטי וירוס.

נמצאו סימנים המעידים שזהו אותו אדם/קבוצה שפרצה ל-"CA Comodo" בתחילת השנה.

לדוח המלא של IT-Fox (באנגלית) כאן

לסיפור המלא (באנגלית) - כאן

לזווית נוספת (באנגלית) - כאן