Nieuws
image

DigiNotar-website miste 30 updates

zondag 18 november 2012, 20:41 door Redactie, 5 reacties

Het content management systeem (CMS) waarmee SSL-verstrekker DigiNotar de eigen website beheerde miste 30 updates, wat er uiteindelijk toe leidde dat het bedrijf gehackt werd. Dat meldt Nu.nl vandaag. DigiNotar gebruikte het DotNetNuke CMS. De geinstalleerde versie, 4.8.2.0, dateerde van maart 2008. Al in mei van dat jaar waarschuwden de CMS-ontwikkelaars voor een ernstig lek in die versie, ruim drie jaar voordat DigiNotar werd gehackt.

Nadat de aanvaller via het CMS de webserver had overgenomen, installeerde die een programma om wachtwoorden te achterhalen. Zowel de aanval als de installatie van de keylogger werden niet ontdekt.

Wachtwoord
Het kraken van het beheerderswachtwoord was geen lastige opgave. In 2011 meldde de hacker zelf dat het beheerderswachtwoord 'Pr0d@dm1n' was. Dat wachtwoord bleek op diverse computers te werken.

Ook werd er bewijs gevonden dat de hacker vervolgens informatie over het interne netwerk verkreeg en zo ook andere systemen kon benaderen. De aanvaller had als doel het aanmaken van valse SSL-certificaten om daarmee internetverkeer in Iran af te luisteren, wat hem ook lukte.

Pas nadat een Iraanse internetgebruiker een waarschuwing kreeg werd de hack openbaar gemaakt. Daarvoor was het al een maand door DigiNotar verzwegen. Het bedrijf uit Beverwijk ging uiteindelijk failliet.

Reacties (5)
18-11-2012, 21:09 door Anoniem
Als je een PKI op correcte wijze opzet had de hack nooit gebeurd. Nu krijgt een lekke website de schuld maar doordat ze alle CA's op 1 netwerk pleurde (heb er geen ander woord voor) was het voor de hacker mogelijk bij dze CA's te komen.

Dit is een denkfout geweest bij het opzetten van de PKI omgeving. Een Root CA is ALTIJD offline en opgeslagen in de kluis. Issueing CA's zitten op eigen netwerken die NIET direct of indirect met internet verbonden zijn en ook niet met andere CA's.

Een beetje RootCA mist soms wel 100 updates. Gewoon omdat het ding nooit op een netwerk aangesloten wordt en daardoor dus niet via het netwerk gehacked kan worden en je dus fysiek bij de CA moet zijn.....
18-11-2012, 21:24 door Anoniem
Heerlijk hoor die zooi zonder wetgeving. Word tijd dat de heren daar eens wat aan gaan doen...
19-11-2012, 10:26 door Anoniem
waarom die facepalm eigenlijk >
19-11-2012, 20:45 door Anoniem
De DotNetNuke versie, 4.8.2.0, dateerde van maart 2008,
maar volgens F-Secure en Webwereld was de eerste inbraak al in mei 2009
http://webwereld.nl/nieuws/107756/diginotar-nl-staat-al-jaren-open-voor-hackers.html
http://www.f-secure.com/weblog/archives/00002228.html

Op dat moment is het aantal ontbrekende DotNetNuke patches niet 30 maar 14, te weten:
DNN 2008-4-L (27 May 08)
DNN 2008-5-C (27 May 08)
DNN 2008-6-C (27 May 08)
DNN 2008-7-C (27 May 08)
DNN 2008-8-L (11 Jun 08)
DNN 2008-9-L (11 Jun 08)
DNN 2008-10-L (11 Jun 08)
DNN 2008-11-C (10 September 08)
DNN 2008-12-L (10 September 08)
DNN 2008-13-C (10 September 08)
DNN 2008-14-C (24 December 08)
DNN 2009-01-L (7 April 09)
DNN 2009-02-L (20 May 09)
DNN 2009-03-L (20 May 09)

Het FOX-IT rapporteert in het rapport black-tulip-update als eerste datum voor Timeline of the intrusion: 17-Jun-2011
Het is dan ook onduidelijk waarom in het rapport niets staat over de periode van mei 2009 tot en met de zomer van 2011.
23-11-2012, 17:14 door Anoniem
Gelukkig hebben de Grieken meer duidelijkheid dan Nederlanders.

A Greek hacker stole the personal data of about 9,000,000 Greek residents, which is approximately the same as the population of Greece itself. As Kevin at Lowering the Bar points out, this means that "If You're Greek, Someone Probably Just Stole Your Identity."

http://boingboing.net/2012/11/21/hacker-steals-entire-nations.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search