受雇调查DigiNotar入侵事件的安全公司Fox-IT公布了初步调查报告,认为攻击源头是伊朗。
攻击者共发行了531个伪造证书,包括了Google、微软、雅虎、Twitter、Facebook、中情局、军情六处和摩萨德等。发行时间是在7月10日到20日之间。Fox-IT报告称,DigiNotar在7月19日注意到了入侵,但似乎未采取任何行动。
它还发现,所有的证书服务器都属于一个Windows域,因此只要一个管理帐号就能控制一切;管理帐号使用了弱密码,容易被暴力破解;攻击者使用的恶意程序和软件可以被现有的杀毒软件探测到;而服务器上运行的软件多过期和未打上补丁。Fox-IT分析了DigiNotar OCSP服务器查询记录,发现攻击期间99%的查询都来自伊朗(视频)。浏览器通过查询OCSP服务器核查证书是否被撤销,这一证据可以确认伪造证书是被伊朗政府或ISP用于监视用户通信。
相关文章
