سرقت گواهینامه های SSL | تلاش دولت هلند برای مهار اوضاع
دولت هلند در تلاش است تا لطمات و خسارات ناشی از سرقت گواهینامههای دیجیتالی از شرکت DigiNotar را مهار کرده و ساختار IT کشور را همچنان سرپا نگه دارد. البته مسئولان دولت هلند خود قبول دارند که این کار نیاز به زمان دارد و امکان جایگزینی یک باره گواهینامههای مورد استفاده فعلی،امکان پذیر نیست.
ابتدا در روز جمعه 11 شهریور ماه بود که سخنگوی دولت هلند در یک اقدام بیسابقه، در ساعت یک بامداد در یک کنفرانس مطبوعاتی اعلام کرد که گواهینامههای دیجیتالی SSL که توسط شرکت DigiNotar برای دولت هلند صادر شدهاند، مورد تعرض و سرقت قرار گرفتهاند و لذا تمام این گواهینامهها ابطال و جایگزین خواهند شد.
گواهینامههایی که برای برقراری ارتباط امن بین کامپیوترهای مختلف، بدون حضور و دخالت کاربر، مورد استفاده قرار میگیرند، به راحتی قابل ابطال نیستند. در صورت ابطال یکباره این گواهینامهها، ساختار دولت الکترونیک هلند از هم فرو خواهد پاشید. به همین منظور، دولت هلند یک برنامه چند مرحلهای و زمانبندی شده برای این کار تعریف کرده است.
در حال حاظر موردی از سوءاستفاده از گواهینامههای دیجیتالی دولت مشاهده و گزارش نشده است. ولی این رویداد میتوانست عواقب بسیار سنگینی برای دولت هلند داشته باشد. شرکت DigiNotar یک سیستم تشخیص هویت به نام DigiD دارد که توسط وزارتخانههایی نظیر دارایی استفاده میشود. با سوءاستفاده از گواهینامههای صادر شده غیرمجاز، امکان کنترل ترافیک این سیستم تشخیص هویت و دسترسی به پروندههای مالیاتی الکترونیکی، وجود داشت.
دولت هلند در یکی از اولین اقدامات خود، گواهینامههای سیستم DigiD را تعویض کرده و از یکی از هفت شرکت هلندی دیگر نیز که صادرکننده گواهینامه های دیجیتالی هستند، استفاده کرد.
دولت هلند، گواهینامههای سیستم ثبت مشخصات خودروها را برای کاربران آن سیستم تغییر داده و اکنون از گواهینامههای شرکت آمریکایی VeriSign استفاده می کنند. ولی برای ایجاد ارتباط امن با سیستمهای کامپیوتری مراکز دیگر مانند پلیس و شرکتهای بیمه، همچنان مجبور به استفاده از گواهینامههای فعلی DigiNotar هستند تا زمانی که همه این مراکز، به طور همزمان بتوانند گواهینامه فعلی را باطل و گواهینامههای جدید را جایگزین کنند.
به دلیل تاخیر شرکت هلندی DigiNotar در مطلع کردن مقامات هلندی، مقامات قضایی این کشور در حال بررسی امکان اعلام جرم بر علیه این شرکت به دلیل سهل انگاری و کتمان حقیقت هستند.
توضیح درباره شرکت Diginotar و سرقت گواهینامه های دیجیتالی SSL : شرکت DigiNotar یک شرکت Certificate Authority) CA) است و مجوز صدور گواهینامههای دیجیتالی Secure Socket Layer) SSL) را دارد. شرکت Diginotar یکی از 500 شرکت صادرکننده گواهینامههای دیجیتال SSL در دنیا است. اخیراً شبکه این شرکت مورد حمله و نفوذ قرار گرفت و صدها گواهینامه (اصل ولی غیرمجاز) توسط نفوذگرها صادر و سرقت شد. این گواهینامهها برای اثبات اصالت سایتهای اینترنتی به کار میروند. با استفاده از گواهینامههای سرقت شده، میتوان کاربران را به سایتهای جعلی که در ظاهر، کاملاً شبیه سایتهای اصلی و واقعی هستند، هدایت کرد و اطلاعات شخصی آنان، مانند رمزهای عبور به سایت را به دست آورد. چون از این گواهینامههای سرقت شده برای نشان دادن اصالت سایت جعلی استفاده میشود، هیچ یک از ابزارها و امکانات امنیتی مرورگرها واکنشی از خود نشان نمیدهند و هشداری نیز به کاربر نمیدهند. البته برای چنین عملیاتی، سرورهای محلی DNS هم باید دستکاری شوند تا نام سایتهای اصلی و واقعی به IP سایتهای جعلی انتقال یابند.