07-25-2012، 01:39 PM
![[عکس: DigiNotar-300x191.jpg]](http://blog.tanin.net/wp-content/uploads/2011/09/DigiNotar.jpg)
این چند روز که از ماجرای جعل گواهینامهی امنیتی شرکت هلندی DigiNotar گذشته مطالب زیادی خوندیم و شنیدیم. توضیحاتی هم در مورد اینکه ماجرا چی بوده و اصلن چه تکنیکی برای هک این شرکت و بعد دسترسی به اکانت جیمیل کاربران ایرانی به کار رفته، در خیلی از سایتها پیدا میشه؛ اگرچه راستش این توضیحات خیلی به دل من نچسبید و حداقل اکثر مطالبی که من دیدم یا خیلی فنی بودند یا غلط! اما اینجا نمیخوام به جزئیات این اتفاق بپردازم (البته اگر شما بخواید توضیحات خودم رو در نوشتهی دیگری خواهم گفت) و میخوام در مورد چیزهایی که کمتر در موردش صحبت شده و برخی از اونها برای خودم بسیار جالب و گاهی تعجبآور بود صحبت کنم. حالا یکی یکی به این نکات میپردازم، اول نکاتی در مورد این شرکت:
۱) شرکت DigiNotar برای اولین بار در تاریخ ۱۹ جولای (۲۸ تیر) متوجه میشه که بیش از ۱۰۰ گواهینامهی جعلی به نام این شرکت منتشر شده. فردای اون روز تعداد بیشتری جعل کشف میکنند و بلافاصله همه رو باطل میکنند اما موضوع رو عمومی نمیکنند و سعی میکنند مخفیانه سیستم رو بهبود ببخشند.
۲) گواهینامهی جعلی که مربوط به جیمیل میشده از گواهینامههایی که باطل شده نبوده و تازه در تاریخ ۲۹ جولای یک کاربر ایرانی متوجه جعلی بودن گواهینامهای که برای دسترسی به جیمیل دریافت میکنه میشه. به عبارتی به دلیل سهلانگاری این شرکت در عدم اعلام به موقع، هر کس یا هر سازمانی که میخواسته به اکانتهای جیمیل کاربران دست پیدا کنه ۱۰ روز وقت داشته و متاسفانه در این ۱۰ روز مطمئنن کاربران زیادتری قربانی شنود شدند.
۳) باورکردنی نیست اما حقیقت داره که شرکت دیجی نوتار، از بسیاری جهات نکات ایمنی رو رعایت نکرده. در بررسیهای بعدی که از این شرکت انجام میشه مشخص میشه که این شرکت بر روی سرورهای خودش از جمله سرورهای تولیدکنندهی گواهینامه حتا یک آنتیویروس ساده هم نصب نکرده بوده! (در حالیکه آنتیویروس برای کشف برنامههای مهاجم که اتفاقن در این مورد استفاده شده) و یا سرورها و workstations در یک سگمنت شبکه و در یک دامین ویندوزی مشترک قرار گرفته بودند! و بدتر اینکه وب سرور این شرکت در زمان حمله اصلاحیههای امنیتی ویندوز رو نصب نکرده بوده! و جالب اینکه در حالیکه بازرسیهای امنیتی زیادی از این شرکت به عمل میومده، نتیجهی بازرسیها رضایتبخش اعلام شده!
و حالا نکاتی در مورد ضعفهای موجود در مکانیزمهای امنیتی:
۱) مرورگرها قادر به باطل کردن گواهینامه نیستند مگر اینکه یک اصلاحیهی امنیتی (patch) نصب بشه. مثلن فایرفاکس اولین مرورگری بود که سریع اصلاحیهی امنیتی داد و گواهینامهی شرکت دیجی نوتار رو باطل کرد.
۲) این برای خود من هم تازگی داشت: هر شرکت تولیدکنندهی گواهینامه (CA یا Certificate Authority) میتونه برای هر شرکتی گواهینامه تولید کنه و این برای مرورگرها معتبره. به زبان ساده این مثل این میمونه که مثلن دولت قزاقستان بتونه برای شهروند کانادایی گذرنامه تولید کنه! بله به همین خندهداری!
۳) شرکتهای CA لیستی از گواهینامه های معتبری که تولید میکنند منتشر نمیکنند. اگر میکردند مرورگرها میتونستند لیست خودشون رو مثلن هرروز آپدیت کنند، همون کاری که با ویروسها یا نرمافزارهای جاسوسی میکنند.
اینها نکاتی بود که امیدوارم براتون جالب بوده باشه. حالا آبروی شرکت DigiNotar که رفت اما به نظر میرسه باید در مکانیزمهای امنیتی هم تجدید نظری بشه که زمزمههاش شروع شده.
کلن ترسیدید، نه؟ من که کمی از ضعفهای سیستماتیک ترسیدم و بیشتر حواسم رو جمع خواهم کرد.
پینوشت- بیشتر حقایق برگرفته از سند منتشر شده توسط Fox-IT بود.
منبع :tanin.net