Hacker-skandale afslører tåkrummende ringe sikkerhed hos hollandsk certifikat-firma

3 kommentarer.  Hop til debatten
Det var alt for nemt at hacke sig ind hos hollandske Diginotar og skabe egne, falske SSL-certifikater. Sikkerheden var helt elendig, viser efterforskningen af skandalen.
6. september 2011 kl. 13:00
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Et svagt admin-password, der kunne brydes med brute force. Én administratorkonto til hele certifikat-systemet, så hackerne fik fuld adgang med det samme. Manglende opdateringer af software. Ingen antivirus-beskyttelse, så hackernes værktøjer ikke blev opdaget.

Sådan lyder blot nogle af de meget lidt flatterende kritikpunkter, som det hollandske certifikat-firma Diginotar nu må lægge ryg til.

Efter skandalen med hackere, der i månedsvis brugte forfalskede SSL-certifikater udstedt til alt fra *.com til CIA, er nedturen for Diginotar nu total.

Hollandske myndigheder har bestilt en ekstern efterforskning af sagen for at komme til bunds i skandalen, og alt det beskidte vasketøj hos Diginotar bliver dermed udstillet, skriver sikkerhedsfirmaet Sophos på bloggen Naked Security.

Artiklen fortsætter efter annoncen

»Det er mindst lige så slemt, som mange af os troede. Diginotar ser ud til at have været totalt ’owned’ i over en måned uden at gøre noget, og de ventede en måned mere, før de tog de nødvendige skridt og fortalte offentligt om det,« lyder vurderingen fra Sophos.

Forbindelsen til Iran bliver også endeligt slået fast, for i perioden, hvor de falske certifikater blev brugt, kom 99 procent af opslagene til Diginotars certifikat-servere fra Iran.

Som en reaktion på Diginotars håndtering af hackerindbruddet, hvor hackerne udstedte 531 falske SSL-certifikater, har verdens browserproducenter spærret for samtlige certifikater fra det hollandske firma.

Samtidig har den hollandske regering overtaget driften af Diginotars certifikat-forretning, skriver Heise Online. Den hollandske stat brugte nemlig i stor stil certifikater fra Diginotar til offentlige websider, ligesom det hollandske svar på NemID blev drevet af den skandaleramte certifikatudsteder.

3 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
3
6. september 2011 kl. 18:15

Jeg havde forventet at nogen havde benyttet lejligheden til at nedgøre nemid her... :-)

2
6. september 2011 kl. 15:18

Det er svært at lovgive mod inkompetence, men hvis det virkelig er sandt at Diginotar ventede en måned med at fortælle at deres sikkerhed var totalt kompromitteret, er der tale om en forsømmelighed som er så grov at der bør være basis for en straffesag.

Selvfølgelig er Diginotar=dead som Flemming Riis skriver, men det vil sende et signal til andre CA'er om at der altså er grænser for hvor tåbeligt man må opføre sig.

Jeg troede egentlig at CA'er var udsat for en ret omfattende ekstern IT revision, men den må også have svigtet fuldstændig i dette tilfælde. Et rodcertifikat skal beskyttes af mere end et enkelt password.

1
6. september 2011 kl. 13:15

Holland har tilsyneladende bedt Microsoft om ikke at rulle en opdatering ud til alle maskiner i holland via WindowsUpdate der blokerer for certificatet til ændre maskiner så har de lidt tid til at skifte provider.

Diginotar=dead