DigiNotar-website miste 30 updates
Het content management systeem (CMS) waarmee SSL-verstrekker DigiNotar de eigen website beheerde miste 30 updates, wat er uiteindelijk toe leidde dat het bedrijf gehackt werd. Dat meldt Nu.nl vandaag. DigiNotar gebruikte het DotNetNuke CMS. De geinstalleerde versie, 4.8.2.0, dateerde van maart 2008. Al in mei van dat jaar waarschuwden de CMS-ontwikkelaars voor een ernstig lek in die versie, ruim drie jaar voordat DigiNotar werd gehackt.
Nadat de aanvaller via het CMS de webserver had overgenomen, installeerde die een programma om wachtwoorden te achterhalen. Zowel de aanval als de installatie van de keylogger werden niet ontdekt.
Wachtwoord
Het kraken van het beheerderswachtwoord was geen lastige opgave. In 2011 meldde de hacker zelf dat het beheerderswachtwoord 'Pr0d@dm1n' was. Dat wachtwoord bleek op diverse computers te werken.
Ook werd er bewijs gevonden dat de hacker vervolgens informatie over het interne netwerk verkreeg en zo ook andere systemen kon benaderen. De aanvaller had als doel het aanmaken van valse SSL-certificaten om daarmee internetverkeer in Iran af te luisteren, wat hem ook lukte.
Pas nadat een Iraanse internetgebruiker een waarschuwing kreeg werd de hack openbaar gemaakt. Daarvoor was het al een maand door DigiNotar verzwegen. Het bedrijf uit Beverwijk ging uiteindelijk failliet.
Dit is een denkfout geweest bij het opzetten van de PKI omgeving. Een Root CA is ALTIJD offline en opgeslagen in de kluis. Issueing CA's zitten op eigen netwerken die NIET direct of indirect met internet verbonden zijn en ook niet met andere CA's.
Een beetje RootCA mist soms wel 100 updates. Gewoon omdat het ding nooit op een netwerk aangesloten wordt en daardoor dus niet via het netwerk gehacked kan worden en je dus fysiek bij de CA moet zijn.....
maar volgens F-Secure en Webwereld was de eerste inbraak al in mei 2009
http://webwereld.nl/nieuws/107756/diginotar-nl-staat-al-jaren-open-voor-hackers.html
http://www.f-secure.com/weblog/archives/00002228.html
Op dat moment is het aantal ontbrekende DotNetNuke patches niet 30 maar 14, te weten:
DNN 2008-4-L (27 May 08)
DNN 2008-5-C (27 May 08)
DNN 2008-6-C (27 May 08)
DNN 2008-7-C (27 May 08)
DNN 2008-8-L (11 Jun 08)
DNN 2008-9-L (11 Jun 08)
DNN 2008-10-L (11 Jun 08)
DNN 2008-11-C (10 September 08)
DNN 2008-12-L (10 September 08)
DNN 2008-13-C (10 September 08)
DNN 2008-14-C (24 December 08)
DNN 2009-01-L (7 April 09)
DNN 2009-02-L (20 May 09)
DNN 2009-03-L (20 May 09)
Het FOX-IT rapporteert in het rapport black-tulip-update als eerste datum voor Timeline of the intrusion: 17-Jun-2011
Het is dan ook onduidelijk waarom in het rapport niets staat over de periode van mei 2009 tot en met de zomer van 2011.
A Greek hacker stole the personal data of about 9,000,000 Greek residents, which is approximately the same as the population of Greece itself. As Kevin at Lowering the Bar points out, this means that "If You're Greek, Someone Probably Just Stole Your Identity."
http://boingboing.net/2012/11/21/hacker-steals-entire-nations.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
