DigiNotar had zelfs geen antivirus
Een interimrapport stelt dat de Nederlandse CA DigiNotar zelfs geen antivirus op zijn servers had. Iran heeft het meeste misbruik van de hack gemaakt.
Een interimrapport stelt dat de Nederlandse CA DigiNotar zelfs geen antivirus op zijn servers had. Iran heeft het meeste misbruik van de hack gemaakt.
Eind augustus raakte bekend dat DigiNotar, een Nederlandse aanbieder van ‘certificates’ (CA, ‘certificate authority’) voor veilig internetverkeer, was gehackt en dat er valse certificaten in omloop waren voor het beveiligd ‘https’-verkeer. DigiNotar was tevens de leverancier van certificaten voor beveiligd verkeer met de Nederlandse overheid, en deze laatste nam in het weekend van 3 september de beslissing het beheer ervan aan DigiNotar te ontnemen.
Ondermaatse bescherming In een interimrapport schetst het securitybedrijf Fox-IT nu een eerste beeld van de ‘Operation Black Tulip’ hack. Daaruit blijkt dat in totaal 531 vervalste certificaten werden uitgegeven, en dat in wezen alle servers kwetsbaar waren voor misbruik door de hackers. Niet alleen bleken alle servers tot een zelfde Windows-domein te behoren (beschermd met een zwak paswoord), maar bovendien bleek de software op de publieke servers verouderd en niet gepatcht, terwijl op de onderzochte servers ook geen antivirussoftware stond.
Op een server werd een script gevonden met een zelfde ‘fingerprint’ als in een eerdere hack van een CA. In maart 2011 werd immers op de Amerikaanse CA Comodo eveneens een aantal vervalste certificaten aangemaakt.
In het rapport bevinden zich lijsten van de vervalste certificaten en serienummers, evenals van de organisaties waarvoor DigiNotar certificaten verstrekt.
Iran profiteerde Uit gegevens van een DigiNotar monitor (het OCSP responder log) bleek dat de meeste ‘requests’ voor het vervalste Google certificaat uit Iran stamden, wat betekent dat de gebruikers van onder meer Gmail in die streken potentieel slachtoffer van aanvallen konden zijn. Dit wordt tevens bevestigd door cijfers van Trend Micro, zoals aangetoond in een blog.
Trend Micro-expert Rik Ferguson stelt dat niet alleen de burgers van Iran hiervan allicht het slachtoffer zijn geworden, maar dat “de meeste schade allicht werd berokkend omdat over het voorval niet zo snel werd gecommuniceerd als mogelijk was geweest.” Zo konden de bouwers van browsers pas de certificaten blokkeren, wanneer ze van het probleem op de hoogte waren gebracht.
Naam verbrand Een en ander maakt dat DigiNotar – een bedrijf dat 13 jaar geleden werd opgericht en zo’n 50 personen tewerk stelt – als CA zo goed als dood is. Het bedrijf werd in januari 2011 overgenomen door Vasco Data Security voor een bedrag van 10 miljoen euro. COO Jan Valcke herhaalt dat het Nederlandse bedrijf werd overgenomen in het kader van Vasco’s plannen rond ‘Digipass as a service’, zodat gebruikers met één ‘Digipass’ toegang tot verschillende diensten kunnen krijgen.
Valcke onderstreept dat Vasco aan de Nederlandse overheid zijn hulp heeft aangeboden (en die ook werd aanvaard) en over het voorval in volledige openheid communiceert. Zo is het (interim-)rapport publiek toegankelijk. Voorts benadrukt hij dat de omzet van DigiNotar in de totale Vasco omzet gering is, en op termijn zal moeten worden bekeken wat met het bedrijf wordt aangevangen. Maar “de brandname DigiNotar is wel verbrand”, erkent Valcke. “Momenteel staat het huis in brand en moet eerst worden geblust, en dan moeten we de huizen ernaast van brand vrijwaren.”
Wat dat laatste betreft benadrukt Valcke dat er nog geen koppeling bestond tussen de systemen van DigiNotar en de systemen van Vasco. “Dat stond pas voor volgend jaar op het programma.” Vasco-klanten kunnen zich daarvan vergewissen, herhaalt Valcke.
Volgens sommige berichten zou ook al voor het huidige voorval DigiNotar problemen hebben gehad. Heeft Vasco met DigiNotar dan geen kat in een zak gekocht? “Dat is vandaag niet aan de orde”, meent Valcke. Eerst verhelpen aan deze crisis, en dan kan worden nagegaan of bijvoorbeeld de Nederlandse overheid correct heeft opgetreden (door het beheer te ontnemen aan DigiNotar) en “de rest is voor advocaten.”
Fout opgemerkt of meer nieuws? Meld het hier