Pożegnaj się ze swoją firmą: atak hakerski na DigiNotar

Niepozorna wiadomość na forum Google’a, która pojawiła się w sierpniu, zapoczątkowała dochodzenie, które ostatecznie pogrążyło instytucję certyfikującą DigiNotar. Wszystko zaczęło się od tego, że jednego z użytkowników zaniepokoił fakt, że jego przeglądarka ostrzega go przed podejrzanym certyfikatem google.com, który wyglądał na legalny. W wyniku jego zgłoszenia na światło dzienne wydobyty został głośny dzisiaj atak hakerski na DigiNotar, który umożliwił cyberprzestępcom wygenerowanie 531 fałszywych certyfikatów. Wykorzystując fałszywe certyfikaty SSL dla stron internetowych, cyberprzestępcy mogą uzyskać dostęp do danych wysyłanych na i z takich stron, nawet gdy jest stosowane połączenie szyfrowane.

Serwer DigiNotar padł ofiarą ataku prawdopodobnie na początku lipca 2011 r. Pierwszy fałszywy certyfikat, jaki wykryto, został wydany 10 lipca 2011 r. Według oświadczenia przedstawicieli DigiNotar, 19 lipca pracownicy tej firmy zorientowali się, że miał miejsce atak i anulowali fałszywe certyfikaty. DigiNotar uznał takie działanie za wystarczające i zdecydował się nie informować o incydencie opinii publicznej. Decyzja ta, jak się później okazało, miała katastrofalne skutki: firmie nie udało się zidentyfikować i anulować wszystkich fałszywych certyfikatów, a odpowiedzialni za to włamanie szkodliwi użytkownicy wykorzystali je do przeprowadzenia ataków na użytkowników.

Atak hakerski na DigiNotar okazał się znacznie poważniejszy niż podobny incydent, w efekcie którego zostały opublikowane fałszywe certyfikaty w imieniu instytucji certyfikującej Comodo. Wśród wielu zasobów, jakie zostały zaatakowane w incydencie DigiNotar, znalazły się zasoby należące do agencji rządowych kilku państw jak również największych serwisów internetowych, takich jak Google, Yahoo!, Tor oraz Mozilla.

531 fałszywych certyfikatów wydanych dla różnych stron internetowych w ramach incydentu, którego ofiarą padł DigiNotar, obejmowało certyfikaty dla stron należących do agencji wywiadowczych ze Stanów Zjednoczonych (CIA), Izraelu (Mossad) oraz Wielkiej Brytanii (Mi6). Nie wiadomo, czym kierowali się hakerzy w tych konkretnych przypadkach, ponieważ oficjalne strony internetowe agencji wywiadowczych nie są wykorzystywane do przekazywania poufnych informacji.

Jednym z najważniejszych klientów DigiNotar był rząd holenderski. Certyfikaty tej firmy były wykorzystywane przez szereg różnych agencji, np. odpowiedzialnych za zarządzanie ruchem drogowym, transportem oraz pojazdami, rejestracją gruntów, obsługą podatków itd. Po ataku hakerskim na serwery DigiNotar holenderskie agencje rządowe zmuszone były zaprzestać korzystania z usług DigiNotar oraz anulować swoje certyfikaty. To oznaczało, że wiele systemów musiało zostać na nowo dostosowanych do pracy z nowymi certyfikatami, co w przypadku niektórych klientów spowodowało przestój w działalności biznesowej.

Atak ten pokazał, że użycie fałszywych certyfikatów może sparaliżować systemy bezpośrednio powiązane z gospodarką danego kraju lub jego agencjami rządowymi.

Koniec afery związanej z DigiNotar nastąpił wraz z ogłoszeniem przez tą firmę bankructwa. Oprócz zniszczonej reputacji firma straciła wszystkich swoich klientów. Nie jest to pierwszy taki przypadek, gdy firma została zmuszona wycofać się z biznesu na skutek aktywności cyberprzestępców. BlueFrog został wykluczony z biznesu antyspamowego w 2006 roku, po tym jak na skutek masowego ataku DDoS przez dłuższy czas nie działały serwery tej organizacji. Sprzedaż HBGary Federal została odwołana po tym, jak atak przeprowadzony przez Anonymous znacząco zmniejszył wartość tej firmy. Z kolei w tym roku australijski dostawca Distribute.IT utracił na skutej ataku hakerskiego wszystkie dane na swoich serwerach. Firmie nie pozostało nic innego, jak tylko zamknąć swoją działalność oraz pomóc stronom internetowym i klientom znaleźć nowych dostawców.

Naturalnie, nie wszystkie duże ataki hakerskie kończą się tak dramatycznie. Niedawne incydenty z udziałem Sony, RSA i Mitsubishi pokazują, że nawet po czymś takim można utrzymać się w biznesie. Trzeba jednak pamiętać, że dużym firmom jest o wiele łatwiej odbudować reputację niż małym . W przypadku małej organizacji, bezpieczeństwo IT to jeden z czynników, które decydują o tym, czy biznes przetrwa czy nie.

Atak na DigiNotar to drugi przypadek w tym roku, gdy włamano się do organizacji certyfikującej. Chociaż firmy wydające główne certyfikaty SSL mają obowiązek przejść audyt bezpieczeństwa, wygląda na to, że poziom bezpieczeństwa w DigiNotar i będącym jego odpowiednikiem Comodo pozostawiał wiele do życzenia. Pozostaje pytanie: jak dobrze zabezpieczone są inne organizacje certyfikujące? Miejmy nadzieję, że przypadek DigiNotar posłuży jako ostrzeżenie dla innych graczy na rynku, aby zaostrzyli swoje polityki bezpieczeństwa.