DigiNotar era una autoridad de certificación holandesa propiedad de VASCO Data Security International, Inc. [1] [2] El 3 de septiembre de 2011, después de que quedó claro que una violación de seguridad había dado lugar a la emisión fraudulenta de certificados , el gobierno holandés asumió el control gestión operativa de los sistemas de DigiNotar. [3] Ese mismo mes, la empresa se declaró en quiebra. [4]
Tipo | Subsidiaria de una empresa que cotiza en bolsa |
---|---|
Industria | Seguridad de Internet |
Fundado | 1998 |
Fundador | Dick Batenburg |
Difunto | 20 de septiembre de 2011 |
Destino | adquirida por VASCO Data Security International, Inc. en 2010; declarado en quiebra en 2011 |
Sede | , |
Productos | Certificados de clave pública |
Servicios | Autoridad certificada |
Dueño | VASCO Data Security International |
Sitio web | www |
Una investigación sobre el hackeo por parte de la consultora Fox-IT designada por el gobierno holandés identificó a 300.000 usuarios iraníes de Gmail como el objetivo principal del hack (dirigido posteriormente mediante ataques man-in-the-middle ), y sospechaba que el gobierno iraní estaba detrás del hack. . [5] Si bien nadie ha sido acusado de robo y compromiso de los certificados (a partir de 2013 [actualizar]), el criptógrafo Bruce Schneier dice que el ataque pudo haber sido "obra de la NSA o explotado por la NSA". [6] Sin embargo, esto ha sido disputado, y otros dijeron que la NSA solo había detectado un servicio de inteligencia extranjero usando los certificados falsos. [7] El hackeo también ha sido reclamado por el llamado Comodohacker, supuestamente un estudiante iraní de 21 años, que también afirmó haber pirateado otras cuatro autoridades certificadoras, incluida Comodo , una afirmación que F-Secure consideró plausible , aunque sin explicar completamente cómo condujo a la subsiguiente "interceptación a gran escala de ciudadanos iraníes". [8]
Después de que se encontraron más de 500 certificados DigiNotar falsos, los principales fabricantes de navegadores web reaccionaron poniendo en lista negra todos los certificados DigiNotar. [9] Algunas organizaciones como ENISA y AccessNow.org utilizaron la escala del incidente para pedir una reforma más profunda de HTTPS con el fin de eliminar la posibilidad de eslabón más débil de que una sola CA comprometida pueda afectar a tantos usuarios. [10] [11]
Empresa
La actividad principal de DigiNotar era como autoridad certificadora , emitiendo dos tipos de certificado. Primero, emitieron certificados con su propio nombre (donde la CA raíz era "CA raíz de DigiNotar"). [12] Los certificados Entrust no se emitieron desde julio de 2010, pero algunos seguían siendo válidos hasta julio de 2013. [13] [14] En segundo lugar, emitieron certificados para el programa PKIoverheid ("PKIgovernment") del gobierno holandés . Esta emisión se realizó a través de dos certificados intermedios, cada uno de los cuales se encadenó a una de las dos CA raíz "Staat der Nederlanden". Las autoridades y organizaciones holandesas nacionales y locales que ofrecen servicios para el gobierno que desean utilizar certificados para una comunicación segura por Internet pueden solicitar dicho certificado. Algunos de los servicios electrónicos más utilizados ofrecidos por los gobiernos holandeses utilizaban certificados de DigiNotar. Algunos ejemplos fueron la infraestructura de autenticación DigiD y la organización central de registro de vehículos de la Autoridad de Vehículos de los Países Bajos (RDW).
Los certificados raíz de DigiNotar se eliminaron de las listas de raíz confiable de todos los principales navegadores web y sistemas operativos de consumo el 29 de agosto de 2011 o alrededor de esa fecha; [15] [16] [17] las raíces "Staat der Nederlanden" se mantuvieron inicialmente porque no se creía que estuvieran comprometidas. Sin embargo, desde entonces han sido revocados.
Historia
DigiNotar fue creado originalmente en 1998 por el notario holandés Dick Batenburg de Beverwijk y la Koninklijke Notariële Beroepsorganisatie
, el organismo nacional para los notarios de derecho civil holandés . La KNB ofrece todo tipo de servicios centrales a los notarios, y debido a que muchos de los servicios que ofrecen los notarios son trámites legales oficiales, la seguridad en las comunicaciones es importante. La KNB ofreció servicios de asesoría a sus miembros sobre cómo implementar servicios electrónicos en sus negocios; una de estas actividades fue ofrecer certificados seguros.Dick Batenburg y KNB formaron el grupo TTP Notarissen (TTP Notaries), donde TTP significa tercero de confianza . Un notario puede convertirse en miembro de TTP Notarissen si cumple con ciertas reglas. Si cumplen con reglas adicionales sobre capacitación y procedimientos de trabajo, pueden convertirse en notarios acreditados de TTP. [18]
Aunque DigiNotar había sido una CA de propósito general durante varios años, todavía apuntaban al mercado de notarios y otros profesionales.
El 10 de enero de 2011, la empresa fue vendida a VASCO Data Security International. [1] En un comunicado de prensa de VASCO fechado el 20 de junio de 2011, un día después de que DigiNotar detectara por primera vez un incidente en sus sistemas [19] Se cita al presidente y director de operaciones de VASCO, Jan Valcke, diciendo "Creemos que los certificados de DigiNotar se encuentran entre los más confiables en el campo." [20]
Bancarrota
El 20 de septiembre de 2011, Vasco anunció que su subsidiaria DigiNotar se declaró en quiebra después de declararse en quiebra voluntaria en el tribunal de Haarlem . Con efecto inmediato, el tribunal nombró a un síndico , un fideicomisario designado por el tribunal que se hace cargo de la gestión de todos los asuntos de DigiNotar a medida que avanza desde el proceso de quiebra hasta la liquidación . [4] [21]
Negativa a publicar informe
El curador (receptor designado por el tribunal) no quería que se publicara el informe de ITSec , ya que podría dar lugar a reclamos adicionales hacia DigiNotar. [ cita requerida ] El informe cubría la forma en que operaba la empresa y los detalles del ataque de 2011 que llevó a su quiebra. [ cita requerida ]
El informe se elaboró a petición de la agencia supervisora holandesa OPTA, que se negó a publicarlo en primer lugar. En un procedimiento de libertad de información ( Wet openbaarheid van bestuur
) iniciado por un periodista, el síndico trató de convencer al tribunal de que no permitiera la publicación de este informe y de confirmar la negativa inicial de la OPTA a hacerlo. [22]Se ordenó publicar el informe y se hizo público en octubre de 2012. Muestra un compromiso casi total de los sistemas.
Emisión de certificados fraudulentos
El 10 de julio de 2011, un atacante con acceso a los sistemas de DigiNotar emitió un certificado comodín para Google . Este certificado fue posteriormente utilizado por desconocidos en Irán para llevar a cabo un ataque de intermediario contra los servicios de Google. [23] [24] El 28 de agosto de 2011, se observaron problemas de certificados en varios proveedores de servicios de Internet en Irán. [25] El certificado fraudulento se publicó en pastebin . [26] Según un comunicado de prensa posterior de VASCO, DigiNotar había detectado una intrusión en su infraestructura de autoridad de certificación el 19 de julio de 2011. [27] DigiNotar no reveló públicamente la brecha de seguridad en ese momento.
Después de que se encontró este certificado, DigiNotar admitió tardíamente que se habían creado docenas de certificados fraudulentos, incluidos certificados para los dominios de Yahoo! , Mozilla , WordPress y The Tor Project . [28] DigiNotar no podía garantizar que todos esos certificados hubieran sido revocados . [29] Google incluyó en la lista negra 247 certificados en Chromium , [30] pero el total conocido final de certificados emitidos incorrectamente es de al menos 531. [31] La investigación de F-Secure también reveló que el sitio web de DigiNotar había sido desfigurado por piratas informáticos turcos e iraníes en 2009. [32]
En reacción, Mozilla revocó la confianza en el certificado raíz de DigiNotar en todas las versiones compatibles de su navegador Firefox y Microsoft eliminó el certificado raíz de DigiNotar de su lista de certificados de confianza con sus navegadores en todas las versiones compatibles de Microsoft Windows. [33] [34] Chromium / Google Chrome pudo detectar el certificado * .google.com fraudulento , debido a su función de seguridad de " fijación de certificado "; [35] sin embargo, esta protección se limitó a los dominios de Google, lo que provocó que Google eliminara a DigiNotar de su lista de emisores de certificados de confianza. [23] Opera siempre verifica la lista de revocación de certificados del emisor del certificado, por lo que inicialmente declararon que no necesitaban una actualización de seguridad. [36] [37] Sin embargo, más tarde también eliminaron la raíz de su almacén de confianza. [38] El 9 de septiembre de 2011, Apple emitió la Actualización de seguridad 2011-005 para Mac OS X 10.6.8 y 10.7.1, que elimina a DigiNotar de la lista de certificados raíz de confianza y autoridades de certificación EV. [39] Sin esta actualización, Safari y Mac OS X no detectan la revocación del certificado y los usuarios deben usar la utilidad Llavero para eliminar manualmente el certificado. [40] Apple no parcheó iOS hasta el 13 de octubre de 2011 con el lanzamiento de iOS 5. [41]
DigiNotar también controlaba un certificado intermedio que se utilizó para la emisión de certificados como parte del gobierno holandés ‘s infraestructura de clave pública del programa 'PKIoverheid', en cadena hasta la autoridad de certificación oficial de gobierno holandés ( Staat der Nederlanden ). [42] Una vez que este certificado intermedio fue revocado o marcado como no confiable por los navegadores, la cadena de confianza de sus certificados se rompió y fue difícil acceder a servicios como la plataforma de gestión de identidad DigiD y la Administración de Impuestos y Aduanas . [43] GOVCERT.NL
, el equipo holandés de respuesta a emergencias informáticas , inicialmente no creía que los certificados PKIoverheid se hubieran comprometido, [44] aunque los especialistas en seguridad no estaban seguros. [29] [45] Debido a que inicialmente se pensó que estos certificados no estaban comprometidos por la violación de seguridad, a solicitud de las autoridades holandesas, se mantuvieron exentos de la remoción de confianza [42] [46] - aunque uno de los dos, el certificado raíz activo "Staat der Nederlanden - G2", fue pasado por alto por los ingenieros de Mozilla y accidentalmente desconfiado de la versión de Firefox. [47] Sin embargo, esta evaluación fue anulada después de una auditoría por parte del gobierno holandés, y los intermediarios controlados por DigiNotar en la jerarquía "Staat der Nederlanden" también fueron incluidos en la lista negra por Mozilla en la próxima actualización de seguridad, y también por otros fabricantes de navegadores. [48] El gobierno holandés anunció el 3 de septiembre de 2011 que cambiaría a una empresa diferente como autoridad de certificación. [49]Medidas adoptadas por el gobierno holandés
Después de la afirmación inicial de que los certificados bajo el certificado intermedio controlado por DigiNotar en la jerarquía de PKIoverheid no se vieron afectados, una investigación adicional por parte de una parte externa, la consultora Fox-IT, también mostró evidencia de actividad de piratas informáticos en esas máquinas. En consecuencia, el gobierno holandés decidió el 3 de septiembre de 2011 retirar su declaración anterior de que no pasaba nada. [50] (Los investigadores de Fox-IT denominaron el incidente "Operación Tulipán Negro". [51] ) El informe de Fox-IT identificó a 300.000 cuentas de Gmail iraníes como las principales víctimas del ataque. [5]
DigiNotar era solo una de las CA disponibles en PKIoverheid, por lo que no todos los certificados utilizados por el gobierno holandés bajo su raíz se vieron afectados. Cuando el gobierno holandés decidió que había perdido la confianza en DigiNotar, retomó el control del certificado intermedio de la empresa para gestionar una transición ordenada y sustituyó los certificados que no eran de confianza por otros nuevos de uno de los otros proveedores. [50] La plataforma DigiD muy utilizada ahora [ ¿cuándo? ] utiliza un certificado emitido por Getronics PinkRoccade Nederland BV [52] Según el gobierno holandés, DigiNotar les brindó su total cooperación con estos procedimientos.
Después de la eliminación de la confianza en DigiNotar, ahora hay cuatro proveedores de servicios de certificación (CSP) que pueden emitir certificados bajo la jerarquía PKIoverheid : [53]
- Digidentity [54]
- ESG o De Electronische Signatuur [55]
- QuoVadis [56]
- Certificación KPN
Las cuatro empresas han abierto mesas de ayuda especiales y / o han publicado información en sus sitios web sobre cómo las organizaciones que tienen un certificado PKIoverheid de DigiNotar pueden solicitar un nuevo certificado a uno de los cuatro proveedores restantes. [54] [55] [56] [57]
Ver también
- Comodo Group: controversia sobre el certificado SSL de Irán
- Operación Shady RAT
- PLA Unidad 61398
- Stuxnet
- Operaciones de acceso personalizadas
Referencias
- ^ a b "VASCO Data Security International, Inc. anuncia la adquisición de DigiNotar BV, líder del mercado de servicios de confianza en Internet en los Países Bajos" (Comunicado de prensa). VASCO . 10 de enero de 2011. Archivado desde el original el 17 de septiembre de 2011 . Consultado el 31 de agosto de 2011 .
- ^ van der Meulen, Nicole (junio de 2013). "DigiNotar: disección del primer desastre digital holandés" . Revista de seguridad estratégica . 6 (2): 46–58. doi : 10.5038 / 1944-0472.6.2.4 . ISSN 1944-0464 .
- ^ Certificados fraudulentos del descubrimiento de la hoja informativa de Govcert del sitio web. Consultado el 6 de septiembre de 2011.
- ^ a b "VASCO anuncia la declaración de quiebra de DigiNotar BV" (Comunicado de prensa). VASCO Data Security International. 20 de septiembre de 2011. Archivado desde el original el 23 de septiembre de 2011 . Consultado el 20 de septiembre de 2011 .
- ^ a b Gregg Keizer (6 de septiembre de 2011). "Los piratas informáticos espiaron a 300.000 iraníes utilizando un certificado de Google falso" . Computerworld . Consultado el 24 de enero de 2014 .
- ^ "Nueva fuga de la NSA muestra ataques de intermediario contra los principales servicios de Internet" . 13 de septiembre de 2013 . Consultado el 14 de septiembre de 2013 .
- ^ Rouwhorst, Koen (14 de septiembre de 2013). "No, la NSA no estaba detrás del hack de DigiNotar" . Consultado el 19 de noviembre de 2013 .
- ^ "El hacker de Comodo reclama el crédito por el ataque de DigiNotar" . PC World Australia. 6 de septiembre de 2011 . Consultado el 24 de enero de 2014 .
- ^ Bright, Peter (6 de septiembre de 2011). "Hacker de Comodo: pirateé DigiNotar también; otras CA violadas" . Ars Technica .
- ^ https://www.enisa.europa.eu/media/news-items/operation-black-tulip
- ^ "El eslabón más débil de la cadena: vulnerabilidades en el sistema de autoridad de certificación SSL y qué se debe hacer al respecto. Un resumen de la política de acceso sobre las consecuencias de la violación de DigiNotar para la sociedad civil y la empresa comercial" (PDF) .
- ^ "Overzicht actuele rootcertificaten" [Estudio de los certificados raíz actuales] (en holandés). DigiNotar. Archivado desde el original el 31 de agosto de 2011 . Consultado el 12 de septiembre de 2011 .
- ^ "Confiar en relación con Diginotar" . Ssl.entrust.net. 14 de septiembre de 2011. Archivado desde el original el 2 de abril de 2012 . Consultado el 1 de febrero de 2012 .
- ^ Una pantalla de impresión de un certificado Diginotar bajo la cadena Entrust
- ^ "Aviso de seguridad de Microsoft 2607712" . technet.microsoft.com . Consultado el 16 de junio de 2016 .
- ^ "Una actualización sobre intentos de ataques man-in-the-middle" . Blog de seguridad en línea de Google . Consultado el 16 de junio de 2016 .
- ^ "Certificado * .google.com fraudulento" . Blog de seguridad de Mozilla . Consultado el 16 de junio de 2016 .
- ^ Sitio web Diginotar en TTP Notarissen Archivado el 31 de agosto de 2011 en Wayback Machine .
- ^ Informe provisional de FOX-IT, v1.0 (pero antes de que se emitieran incorrectamente los certificados), Cronología, página 13. Consultado el 5 de septiembre de 2011.
- ^ "VASCO aborda el mercado global de certificados SSL" . MarketWatch . 20 de junio de 2011.
- ↑ Pressrelease Court of Haarlem on DigiNotar , 20 de septiembre de 2011. Consultado el 27 de septiembre de 2011.
- ^ Sitio de noticias nu.nl: Receptor teme más reclamaciones (holandés), 22 de junio de 2012. Visita: 25 de junio de 2012.
- ^ a b Heather Adkins (29 de agosto de 2011). "Una actualización sobre intentos de ataques man-in-the-middle" . Consultado el 30 de agosto de 2011 .
- ^ Elinor Mills. "Certificado de Google fraudulento apunta a un ataque de Internet". CNET , 29/8/2011.
- ^ Charles Arthur (30 de agosto de 2011). "Un certificado web falso podría haberse utilizado para atacar a los disidentes de Irán" . The Guardian . Consultado el 30 de agosto de 2011 .
- ^ "Certificado fraudulento desencadena el bloqueo de empresas de software" . Heise Media UK Ltd. 30 de agosto de 2011. Archivado desde el original el 28 de abril de 2012.
- ^ "DigiNotar informa incidente de seguridad" . VASCO Data Security International. 30 de agosto de 2011. Archivado desde el original el 31 de agosto de 2011 . Consultado el 1 de septiembre de 2011 .
- ^ "Mogelijk nepsoftware verspreid naast aftappen Gmail" . Sanoma Media Holanda groep. 31 de agosto de 2011.
- ^ a b "DigiNotar: mogelijk nog valse certificaten en omloop" . IDG Nederland. 31 de agosto de 2011.
- ^ Keizer, Gregg (31 de agosto de 2011). "Los piratas informáticos pueden haber robado más de 200 certificados SSL" . F-Secure.
- ^ Markham, Gervase (4 de septiembre de 2011). "Lista CN de DigiNotar actualizada" .
- ^ Hypponen, Mikko (30 de agosto de 2011). "DigiNotar pirateado por Black.Spook y hackers iraníes" .
- ^ "Los certificados digitales fraudulentos podrían permitir la suplantación de identidad" . Aviso de seguridad de Microsoft (2607712) . Microsoft. 29 de agosto de 2011 . Consultado el 30 de agosto de 2011 .
- ^ Johnathan Nightingale (29 de agosto de 2011). "Certificado * .google.com fraudulento" . Blog de seguridad de Mozilla . Mozilla . Consultado el 30 de agosto de 2011 .
- ^ "Lo que significa la infracción de seguridad de DigiNotar para los usuarios de Qt" . Expertos en MeeGo . 10 de septiembre de 2011. Archivado desde el original el 24 de marzo de 2012 . Consultado el 13 de septiembre de 2011 .
- ^ "Opera 11.51 lanzado" . Opera Software. 30 de agosto de 2011.
- ^ Vik, Sigbjørn (30 de agosto de 2011). "Cuando las autoridades de certificación son pirateadas" . Opera Software.
- ^ "Segundo paso de DigiNotar: poner la raíz en la lista negra" . Opera Software. 8 de septiembre de 2011.
- ^ "Acerca de la actualización de seguridad 2011-005" . Manzana. 9 de septiembre de 2011 . Consultado el 9 de septiembre de 2011 .
- ^ "Los usuarios de Safari siguen siendo susceptibles a ataques con certificados falsos de DigiNotar" . Ars Technica . 1 de septiembre de 2011 . Consultado el 1 de septiembre de 2011 .
- ^ "Acerca del contenido de seguridad de la actualización del software iOS 5" . Manzana. 13 de octubre de 2011 . Consultado el 13 de octubre de 2014 .
- ^ a b Johnathan Nightingale (2 de septiembre de 2011). "Seguimiento de eliminación de DigiNotar" . Blog de seguridad de Mozilla . Consultado el 4 de septiembre de 2011 .
- ^ Schellevis, Joost (30 de agosto de 2011). "Firefox vertrouwt certificaat DigiD niet meer" . Tweakers.net (en holandés).
- ^ "Frauduleus uitgegeven beveiligingscertificaat" . 30 de agosto de 2011.
- ^ Schellevis, Joost (31 de agosto de 2011). "Overheid vertrouwt blunderende ssl-autoriteit" . Tweakers.net (en holandés).
- ^ Schellevis, Joost (31 de agosto de 2011). "Firefox vertrouwt DigiD toch na verzoek Nederlandse overheid" . Tweakers.net (en holandés).
- ^ "Bugzilla @ Mozilla - Error 683449 - Eliminar las exenciones para la raíz de Staat der Nederlanden" . Consultado el 5 de septiembre de 2011 .
- ^ Gervase Markham (3 de septiembre de 2011). "Compromiso DigiNotar" . Consultado el 3 de septiembre de 2011 .
- ^ "La seguridad de los sitios web del gobierno holandés en peligro" . Radio Holanda en todo el mundo . 3 de septiembre de 2011. Archivado desde el original el 27 de septiembre de 2011 . Consultado el 3 de septiembre de 2011 .
- ^ a b Newsrelease Gobierno holandés: Overheid zegt vertrouwen in de certificaten van Diginotar op Archivado el 17 de octubre de 2011 en Wayback Machine , 3 de septiembre de 2011. Consultado el 5 de septiembre de 2011.
- ^ Charette, Robert (9 de septiembre de 2011). "La infracción de la autoridad de certificación de DigiNotar bloquea el gobierno electrónico en los Países Bajos - IEEE Spectrum" . Spectrum.ieee.org . Consultado el 24 de enero de 2014 .
- ^ Ver certificado en Solicitar cuenta de DigiD [ enlace muerto permanente ] . Consultado el 5 de septiembre de 2011.
- ^ Sitio web Logius: Reemplazo de certificados . Consultado el 5 de septiembre de 2011.
- ^ a b "PKIoverheid SSL" . Archivado desde el original el 12 de julio de 2012.
- ^ a b Certificados de PKIOverheids Archivado el 10 de octubre de 2011 en Wayback Machine . Consultado el 5 de septiembre de 2011.
- ^ a b Sitio web de la oficina holandesa de Quovadis en PKIOverheid . Consultado el 5 de septiembre de 2011.
- ^ Sitio web Getronics sobre cómo solicitar el certificado PKIOverheid. Archivado el 10 de octubre de 2011 en archive.today . Consultado el 5 de septiembre de 2011.
Otras lecturas
- Fox-IT (agosto de 2012). Black Tulip: Informe de la investigación sobre la infracción de la autoridad de certificación de DigiNotar .
enlaces externos
- Sitio web oficial (en inglés, sin mencionar la quiebra)
- Sitio web oficial (holandés, mencionando la quiebra)
- Certificados fraudulentos: lista de nombres comunes
- DigiNotar informa incidente de seguridad
- Publicaciones de Pastebin :
- ATAQUE DE Gmail.com SSL MITM POR PARTE DEL Gobierno iraní -27/8/2011
- ¡Sentencia de muerte en Internet para Root CA de DigiNotar!
- Aviso de seguridad de la Fundación Mozilla 2011-34: Protección contra certificados DigiNotar fraudulentos
- Aviso de seguridad de Microsoft (2607712): Los certificados digitales fraudulentos podrían permitir la suplantación de identidad
- DigiNotar Compromiso - Mozilla 's Gervase Markham en cuenta cómo y por qué Mozilla lista negra DigiNotar' s.
- Johnathan Nightingale (2 de septiembre de 2011). "Seguimiento de eliminación de DigiNotar" . Blog de seguridad de Mozilla . Consultado el 4 de septiembre de 2011 . El Director de Ingeniería de Firefox de Mozilla Corporation explica por qué la eliminación de DigiNotar de la lista de confianza por parte de Mozilla no es una suspensión temporal, sino una revocación completa de la confianza.
- Video en YouTube de Fox-IT, que muestra las solicitudes OCSP posteriores de los usuarios iraníes de certificados DigiNotar (posibles ataques).