Hacker-skandale afslører tåkrummende ringe sikkerhed hos hollandsk certifikat-firma

Det var alt for nemt at hacke sig ind hos hollandske Diginotar og skabe egne, falske SSL-certifikater. Sikkerheden var helt elendig, viser efterforskningen af skandalen.

Et svagt admin-password, der kunne brydes med brute force. Én administratorkonto til hele certifikat-systemet, så hackerne fik fuld adgang med det samme. Manglende opdateringer af software. Ingen antivirus-beskyttelse, så hackernes værktøjer ikke blev opdaget.

Sådan lyder blot nogle af de meget lidt flatterende kritikpunkter, som det hollandske certifikat-firma Diginotar nu må lægge ryg til.

Efter skandalen med hackere, der i månedsvis brugte forfalskede SSL-certifikater udstedt til alt fra *.com til CIA, er nedturen for Diginotar nu total.

Hollandske myndigheder har bestilt en ekstern efterforskning af sagen for at komme til bunds i skandalen, og alt det beskidte vasketøj hos Diginotar bliver dermed udstillet, skriver sikkerhedsfirmaet Sophos på bloggen Naked Security.

»Det er mindst lige så slemt, som mange af os troede. Diginotar ser ud til at have været totalt ’owned’ i over en måned uden at gøre noget, og de ventede en måned mere, før de tog de nødvendige skridt og fortalte offentligt om det,« lyder vurderingen fra Sophos.

Forbindelsen til Iran bliver også endeligt slået fast, for i perioden, hvor de falske certifikater blev brugt, kom 99 procent af opslagene til Diginotars certifikat-servere fra Iran.

Som en reaktion på Diginotars håndtering af hackerindbruddet, hvor hackerne udstedte 531 falske SSL-certifikater, har verdens browserproducenter spærret for samtlige certifikater fra det hollandske firma.

Samtidig har den hollandske regering overtaget driften af Diginotars certifikat-forretning, skriver Heise Online. Den hollandske stat brugte nemlig i stor stil certifikater fra Diginotar til offentlige websider, ligesom det hollandske svar på NemID blev drevet af den skandaleramte certifikatudsteder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Jesper Lund

Det er svært at lovgive mod inkompetence, men hvis det virkelig er sandt at Diginotar ventede en måned med at fortælle at deres sikkerhed var totalt kompromitteret, er der tale om en forsømmelighed som er så grov at der bør være basis for en straffesag.

Selvfølgelig er Diginotar=dead som Flemming Riis skriver, men det vil sende et signal til andre CA'er om at der altså er grænser for hvor tåbeligt man må opføre sig.

Jeg troede egentlig at CA'er var udsat for en ret omfattende ekstern IT revision, men den må også have svigtet fuldstændig i dette tilfælde. Et rodcertifikat skal beskyttes af mere end et enkelt password.

  • 3
  • 0
Log ind eller Opret konto for at kommentere