A Fox-IT jelentése a DigiNotar betörésről

A DigiNotart ért adatlopás után a digitális tanúsítványokat kibocsájtó cég a Fox-IT biztonsági auditorait kérte fel az incidens kivizsgálására. A Fox-IT végzett az előzetes ellenőrzéssel és a tegnapi nap folyamán nyilvánosságra hozták előzetes tapasztalataikat. A helyzet legalább annyira rossz, mint amire számítottak. A DigiNotar gyakorlatilag egy hónapig nem törődött az esettel és mikor felfedezték, hogy nagy a baj még egy hónapot vártak a szükséges lépések megtételével és a nyilvánosság értesítésével. A Fox-IT jelentéséből kiderül, hogy a rendszert június 17-én érte a támadás, amit a DigiNotar 19-én észlelt, de látszólag semmit sem tettek az elhárítás érdekében. A jelenlegi ismeretek szerint az első hamis tanúsítvány a *.google.com-hoz július 10-én jelent meg és július 10-e és 20-a között még további 529 hamis tanúsítványt készítettek a támadók.

Bár a vizsgálat még folyik, a DigiNotar néhány jelentős biztonsági mulasztására már most fény derült:

  1. Minden tanúsítvány szerver egy Windows tartomány részét képezte, így egy adminisztrátor fiók feltörésével, bármihez hozzáférhettek a támadók.
  2. A rendszergazda jelszó nagyon egyszerű volt, akár brute force támadással is könnyen feltörhető.
  3. A legtöbb, a támadás során használt káros szoftvert és eszközt egy egyszerű antivírus program felfedezte volna.
  4. A publikusan elérhető szerverek szoftverei elavultak voltak, és nem tartalmazták a biztonsági frissítéseket.
  5. Nem volt egységes és biztonsági loggolás beállítva.
  6. A kritikus adatok között nem volt hatékony szeparáció.

A támadó az egyik általa használt scriptben még egy üzenetet is hagyott, amely egyértelműen összekapcsolja az esetet a március Comodo esettel ahol szintén egy tanúsítványokat kibocsájtó szervezet volt a célpont.

Operation Black Tulip: Fox-IT’s report on the DigiNotar breach