سرقت گواهینامه های SSL | تلاش دولت هلند برای مهار اوضاع

روابط عمومی

13 سال پیش

دولت هلند در تلاش است تا لطمات و خسارات ناشی از سرقت گواهینامه‎های دیجیتالی از شرکت DigiNotar را مهار کرده و ساختار IT کشور را همچنان سرپا نگه دارد. البته مسئولان دولت هلند خود قبول دارند که این کار نیاز به زمان دارد و امکان جایگزینی یک باره گواهینامه‎های مورد استفاده فعلی،امکان پذیر نیست.

ابتدا در روز جمعه 11 شهریور ماه بود که سخنگوی دولت هلند در یک اقدام بی‎سابقه، در ساعت یک بامداد در یک کنفرانس مطبوعاتی اعلام کرد که گواهینامه‎های دیجیتالی SSL که توسط شرکت DigiNotar برای دولت هلند صادر شده‎اند، مورد تعرض و سرقت قرار گرفته‎اند و لذا تمام این گواهینامه‎ها ابطال و جایگزین خواهند شد.

گواهینامه‎هایی که برای برقراری ارتباط امن بین کامپیوترهای مختلف، بدون حضور و دخالت کاربر، مورد استفاده قرار می‎گیرند، به راحتی قابل ابطال نیستند. در صورت ابطال یکباره این گواهینامه‎ها، ساختار دولت الکترونیک هلند از هم فرو خواهد پاشید. به همین منظور، دولت هلند یک برنامه چند مرحله‎ای و زمان‎بندی شده برای این کار تعریف کرده است.

در حال حاظر موردی از سوءاستفاده از گواهینامه‎های دیجیتالی دولت مشاهده و گزارش نشده است. ولی این رویداد می‎توانست عواقب بسیار سنگینی برای دولت هلند داشته باشد. شرکت DigiNotar یک سیستم تشخیص هویت به نام DigiD دارد که توسط وزارتخانه‎هایی نظیر دارایی استفاده می‎شود. با سوءاستفاده از گواهینامه‎های صادر شده غیرمجاز، امکان کنترل ترافیک این سیستم تشخیص هویت و دسترسی به پرونده‎های مالیاتی الکترونیکی، وجود داشت.

دولت هلند در یکی از اولین اقدامات خود، گواهینامه‎های سیستم DigiD را تعویض کرده و از یکی از هفت شرکت هلندی دیگر نیز که صادرکننده گواهینامه های دیجیتالی هستند، استفاده کرد.

دولت هلند، گواهینامه‎های سیستم ثبت مشخصات خودروها را برای کاربران آن سیستم تغییر داده و اکنون از گواهینامه‎های شرکت آمریکایی VeriSign استفاده می کنند. ولی برای ایجاد ارتباط امن با سیستم‎های کامپیوتری مراکز دیگر مانند پلیس و شرکتهای بیمه، همچنان مجبور به استفاده از گواهینامه‎های فعلی DigiNotar هستند تا زمانی که همه این مراکز، به طور همزمان بتوانند گواهینامه فعلی را باطل و گواهینامه‎های جدید را جایگزین کنند.

به دلیل تاخیر شرکت هلندی DigiNotar در مطلع کردن مقامات هلندی، مقامات قضایی این کشور در حال بررسی امکان اعلام جرم بر علیه این شرکت به دلیل سهل انگاری و کتمان حقیقت هستند.

توضیح درباره شرکت Diginotar و سرقت گواهینامه های دیجیتالی SSL : شرکت DigiNotar یک شرکت Certificate Authority) CA) است و مجوز صدور گواهینامه‎های دیجیتالی Secure Socket Layer) SSL) را دارد. شرکت Diginotar یکی از 500 شرکت صادرکننده گواهینامه‎های دیجیتال SSL در دنیا است. اخیراً شبکه این شرکت مورد حمله و نفوذ قرار گرفت و صد‎ها گواهینامه (اصل ولی غیرمجاز) توسط نفوذگرها صادر و سرقت شد. این گواهینامه‎ها برای اثبات اصالت سایت‎های اینترنتی به کار می‎روند. با استفاده از گواهینامه‎های سرقت شده، می‎توان کاربران را به سایت‎های جعلی که در ظاهر، کاملاً شبیه سایت‎های اصلی و واقعی هستند، هدایت کرد و اطلاعات شخصی آنان، مانند رمزهای عبور به سایت را به دست آورد. چون از این گواهینامه‎های سرقت شده برای نشان دادن اصالت سایت جعلی استفاده می‎شود، هیچ یک از ابزارها و امکانات امنیتی مرورگرها واکنشی از خود نشان نمی‎دهند و هشداری نیز به کاربر نمی‎دهند. البته برای چنین عملیاتی، سرورهای محلی DNS هم باید دستکاری شوند تا نام سایت‎های اصلی و واقعی به IP سایت‎های جعلی انتقال یابند.