Certificatenmaker Diginotar zeer slecht beveiligd
Een eerste doorlichting van het gehackte Diginotar toont dat het certificatenbedrijf onvoldoende beveiligingsmaatregelen heeft genomen.
Het Nederlandse Diginotar ontdekte de inbraak op zijn servers op 19 juli. Maar het was Google dat op 29 augustus met het nieuws naar buiten kwam, nadat het veiligheidsproblemen had opgemerkt bij Iraanse gebruikers. Een dag later startte beveiligingsbedrijf Fox-IT in opdracht van de Nederlandse overheid een onafhankelijk onderzoek naar de hack bij Diginotar.
[download_file]
Het voorlopig verslag, dat afgelopen week werd samengesteld, maakt brandhout van de beveiliging bij Diginotar. Op de servers van Diginotar werd malafide software ontdekt en kritieke onderdelen van de infrastructuur werden niet gescheiden.
[related_article id=”161920″]
Eenvoudig wachtwoord
Daarnaast waren alle servers die certificaten behandelen onderdeel van één Windowsdomein. De hacker kon zo volledige toegang krijgen met één log-in en wachtwoord. Volgens het rapport was dat wachtwoord overigens niet erg sterk en te ontcijferen met een bruteforce-aanval. Daarbij worden verschillende combinaties geprobeerd tot het juiste gevonden is.
Dat wachtwoord is ‘Pr0d@dm1n’. Het werd intussen ook achterhaald omdat de hacker het zelf online heeft gezet, zo staat te lezen in een blogpost van beveiligingsbedrijf F-Secure. Het bevat weliswaar cijfers, letters en vreemde tekens zoals het hoort, maar ‘admin’ in een administratorwachtwoord verwerken is even verstandig als je voornaam in je wachtwoord gebruiken.
Het wachtwoord is overigens nog makkelijker te raden als je weet dat de gebruikersnaam PRODUCTIONAdministrator was.
Fox-IT concludeert verder dat de software op de gekraakte servers verouderd was en niet recent werd gepatcht. Daarnaast was er geen antivirus actief op de onderzochte servers.
Amateur of professional?
In zijn verslag schrijft Fox-IT dat er verdachte software en hackertools zijn gevonden op de servers van Diginotar. Enerzijds lijken die amateuristisch, anderzijds ontdekte het bedrijf ook software en scripts die zeer geavanceerd zijn en specifiek zijn ontwikkeld om bij het certificatenbedrijf in te breken.
PKIoverheid
Bij de inbreuk werden alle servers voor certificaten volledig toegankelijk. In het rapport staat dat er pogingen zijn geweest om de PKI-software te gebruiken, maar er is geen bewijs dat er ook valse certificaten voor Qualified of PKIoverheid zijn aangemaakt. Die laatste verzekert de beveiligde onlinecommunicatie met overheidsdiensten.
Anderzijds zijn er wel twee serienummers van certificaten teruggevonden op de server van Qualified of PKIoverheid die niet bij de vertrouwde certificaten horen. Daarom sluit Fox-IT niet uit dat het om valse certificaten gaat.
Ondanks de volledige toegang zijn niet alle certificatieservers misbruikt. Dit is wel het geval voor de volgende certificatieauthoriteiten (CA):
– DigiNotar Cyber CA
– DigiNotar Extended Validation CA
– DigiNotar Public CA – G2
– DigiNotar Public CA 2025
– Koninklijke Notariele Beroepsorganisatie CA
– Stichting TTP Infos CA
Andere CA’s van Diginotar zijn ook gecompromitteerd, maar er werd volgens het rapport geen misbruik van gemaakt. Het gaat onder meer om de certificaten van Renault Nissan Nederland CA, Orde van Advocaten SubCA Administratof VA, TU Delft CA en Ministerie van Justitie CA – G2
Wie het dertien pagina’s tellende rapport wil nalezen kan het onder dit artikel downloaden.
