Tweet

0

Certificatenmaker Diginotar zeer slecht beveiligd

Geen antivirus, oude software

Een eerste doorlichting van het gehackte Diginotar toont dat het certificatenbedrijf onvoldoende beveiligingsmaatregelen heeft genomen.

Het Nederlandse Diginotar ontdekte de inbraak op zijn servers op 19 juli. Maar het was Google dat op 29 augustus met het nieuws naar buiten kwam, nadat het veiligheidsproblemen had opgemerkt bij Iraanse gebruikers. Een dag later startte beveiligingsbedrijf Fox-IT in opdracht van de Nederlandse overheid een onafhankelijk onderzoek naar de hack bij Diginotar.

Het voorlopig verslag, dat afgelopen week werd samengesteld, maakt brandhout van de beveiliging bij Diginotar. Op de servers van Diginotar werd malafide software ontdekt en kritieke onderdelen van de infrastructuur werden niet gescheiden.

Eenvoudig wachtwoord
Daarnaast waren alle servers die certificaten behandelen onderdeel van één Windowsdomein. De hacker kon zo volledige toegang krijgen met één log-in en wachtwoord. Volgens het rapport was dat wachtwoord overigens niet erg sterk en te ontcijferen met een bruteforce-aanval. Daarbij worden verschillende combinaties geprobeerd tot het juiste gevonden is.

Dat wachtwoord is ‘Pr0d@dm1n’. Het werd intussen ook achterhaald omdat de hacker het zelf online heeft gezet, zo staat te lezen in een blogpost van beveiligingsbedrijf F-Secure. Het bevat weliswaar cijfers, letters en vreemde tekens zoals het hoort, maar ‘admin’ in een administratorwachtwoord verwerken is even verstandig als je voornaam in je wachtwoord gebruiken.

Het wachtwoord is overigens nog makkelijker te raden als je weet dat de gebruikersnaam PRODUCTION\Administrator was.

Fox-IT concludeert verder dat de software op de gekraakte servers verouderd was en niet recent werd gepatcht. Daarnaast was er geen antivirus actief op de onderzochte servers.

Amateur of professional?
In zijn verslag schrijft Fox-IT dat er verdachte software en hackertools zijn gevonden op de servers van Diginotar. Enerzijds lijken die amateuristisch, anderzijds ontdekte het bedrijf ook software en scripts die zeer geavanceerd zijn en specifiek zijn ontwikkeld om bij het certificatenbedrijf in te breken.

PKIoverheid
Bij de inbreuk werden alle servers voor certificaten volledig toegankelijk. In het rapport staat dat er pogingen zijn geweest om de PKI-software te gebruiken, maar er is geen bewijs dat er ook valse certificaten voor Qualified of PKIoverheid zijn aangemaakt. Die laatste verzekert de beveiligde onlinecommunicatie met overheidsdiensten.