Hacker-skandale afslører tåkrummende ringe sikkerhed hos hollandsk certifikat-firma

Et svagt admin-password, der kunne brydes med brute force. Én administratorkonto til hele certifikat-systemet, så hackerne fik fuld adgang med det samme. Manglende opdateringer af software. Ingen antivirus-beskyttelse, så hackernes værktøjer ikke blev opdaget.

Sådan lyder blot nogle af de meget lidt flatterende kritikpunkter, som det hollandske certifikat-firma Diginotar nu må lægge ryg til.

Efter skandalen med hackere, der i månedsvis brugte forfalskede SSL-certifikater udstedt til alt fra *.com til CIA, er nedturen for Diginotar nu total.

Hollandske myndigheder har bestilt en ekstern efterforskning af sagen for at komme til bunds i skandalen, og alt det beskidte vasketøj hos Diginotar bliver dermed udstillet, skriver sikkerhedsfirmaet Sophos på bloggen Naked Security.

»Det er mindst lige så slemt, som mange af os troede. Diginotar ser ud til at have været totalt ’owned’ i over en måned uden at gøre noget, og de ventede en måned mere, før de tog de nødvendige skridt og fortalte offentligt om det,« lyder vurderingen fra Sophos.

Forbindelsen til Iran bliver også endeligt slået fast, for i perioden, hvor de falske certifikater blev brugt, kom 99 procent af opslagene til Diginotars certifikat-servere fra Iran.

Som en reaktion på Diginotars håndtering af hackerindbruddet, hvor hackerne udstedte 531 falske SSL-certifikater, har verdens browserproducenter spærret for samtlige certifikater fra det hollandske firma.

Samtidig har den hollandske regering overtaget driften af Diginotars certifikat-forretning, skriver Heise Online. Den hollandske stat brugte nemlig i stor stil certifikater fra Diginotar til offentlige websider, ligesom det hollandske svar på NemID blev drevet af den skandaleramte certifikatudsteder.