骇客宣称已入侵多家认证机构 波及微软、谷歌

今年3月入侵Comodo凭证机构的伊朗黑客ComodoHacker宣布，他入侵的凭证机构包括DigiNotar、StartCom与 GlobalSign在内。 今年3月入侵Comodo凭证机构的伊朗黑客ComodoHacker本周透过Pastebin宣布，他不但是骇进Comodo的元凶，也入侵其他4家高知名度的凭证机构，包括DigiNotar、StartCom与GlobalSign在内。GlobalSign在得知此事后，已暂时停止凭证的发放，并展开全面调查。

今年8月底，网络上出现由DigiNotar凭证所颁发的假Google凭证，而使得此一事件曝光。调查后发现，黑客人侵DigiNotar至少颁发了涉及20个网域的500个凭证，由于假凭证数量与范围仍不明，因此包括Google与Mozilla皆已更新旗下的产品，暂时停止信任由DigiNotar 所发布的所有凭证。

这些假冒的凭证波及了Google、Facebook、微软、Yahoo、Skype、荷兰政府网站，以及美/英/以色列的情报单位。

ComodoHacker表示，他入侵DigiNotar并伪造荷兰政府机构凭证是为了报复荷兰政府在16年前以8000名回教徒交换30名荷兰士兵，而且赛尔维亚人在同一天杀害了这8000名回教徒。DigiNotar为一位于荷兰的小型认证机构，荷兰政府已得知此事，并正扩大调查中。

ComodoHacker计划公布人侵这些凭证机构的细节，包括他如何进入DigiNotar的第6层网络，如何找到密码，如何取得系统权限，绕过安全机 构与硬件钥匙，以让大家了解该攻击的复杂度，而这将是一个绝佳的黑客课程。他甚至公布了进入DigiNotar系统的用户名称与密码，并且留下电子邮件账号欢迎媒体专访。

即使ComodoHacker强调荷兰政府16年前的过错，文中也未谈及任何组织行动。不过，今年3月遭到Comodohacker入侵的Comodo执行长Melih Abdulhayoglu在接受媒体访问时，直指Comodohacker的背后有政府的支撑，而且相关攻击将不会停止。

Google的调查显示，近日所发现以假冒的DigiNotar凭证针对Google用户所进行的中间人（man-in-the-middle）攻击的被害者主要位于伊朗；趋势科技的研究亦发现，伊朗境内40个不同的ISP或学校网络都曾遭遇DigiNotar颁发的假凭证，同时伊朗也发生了大规模的中间人攻击。

趋势科技侦测用来检验DigiNotar凭证的validation.diginotar.nl网站流量，发现今年8月30日前，主要的流量都来自于荷兰及伊朗，由于DigiNotar为荷兰凭证业者，因此该站大多数的流量自然以荷兰为主，但会有大量来自伊朗的流量则令人匪夷所思，当业者发现DigiNotar遭骇并采取补救措施后，几乎所有来自伊朗的流量都消失了。

荷兰资安业者Fox-IT则指出，从今年8月初到8月底之间，约有30万个独立的IP地址以假冒的凭证存取google.com，其中超过99%都来自伊朗境内。

Fox-IT亦揭露了DigiNotar的安全问题，指出DigiNotar网络多次遭骇，且黑客所使用与安装的工具都能被标准的防病毒软件所侦测到，代表DigiNotar明显缺乏安全程序。

来源：ITHOME