Anzeige
Fox-IT findet grobe Sicherheitsmängel bei Diginotar.
Fox-IT findet grobe Sicherheitsmängel bei Diginotar. (Bild: Diginotar)

Zertifikate

Grobe Sicherheitsmängel bei Diginotar

Fox-IT findet grobe Sicherheitsmängel bei Diginotar.
Fox-IT findet grobe Sicherheitsmängel bei Diginotar. (Bild: Diginotar)

Der Einbruch in die Server des niederländischen Zertifikatsanbieters Diginotar hat weitreichendere Folgen als bisher bekannt, meldet die niederländische Regierung. Und ein erstes Zwischengutachten belegt grobe Fehler von Diginotar.

Die niederländische Regierung informiert über das Ausmaß des Einbruchs in die Server von Diginotar, das Tor-Projekt hat nun die ihm zur Verfügung gestellten Informationen veröffentlicht. Demnach haben sich die Angreifer 531 Zertifikate ausgestellt, darunter auch solche für die Websites des US-Geheimdienstes CIA, die von Skype und Wordpress, Facebook, Microsoft, Mozilla, Yahoo und dem Tor-Projekt.

Anzeige

Zwar wurde auch das Zertifikat für Microsofts Website windowsupdate.com gefälscht, über die Microsoft Updates für Windows verteilt, Microsoft weist aber darauf hin, dass die Updates nochmals mit einem zweiten Zertifikat signiert sind, über das Microsoft selbst die Kontrolle hat, so dass es nicht möglich ist, Windows-Nutzern gefälschte Zertifikate unterzuschieben.

Auch die weitreichenden Zertifikate für *.*.com und *.*.org wurden ausgestellt. Diese sollten aber von keinem Browser akzeptiert werden. Auch Zertifikate auf den Namen anderer Zertifikatsanbieter haben sich die Angreifer ausgestellt, darunter "Verisign Root CA" und "Thawte Root CA".

Veraltete Software und unsicheres Netzwerksetup

Diginotar hat derweil einen von Fox-IT erstellten Bericht zu dem Einbruch veröffentlicht. Demnach liegt die Vermutung nahe, dass es den Angreifern vor allem darum ging, Nutzer im Iran auszuforschen.

Zudem kommt Fox-IT zu dem Schluss, dass das Netzwerksetup von Diginotar nicht sicher genug ist, um solche Angriffe abzuwehren: Auf den kritischsten Servern wurde Malware gefunden, die eigentlich von einer Antivirussoftware hätte entdeckt werden können. Doch eine Antivirussoftware wurde auf den Systemen nicht verwendet. Die Trennung dieser kritischen Systeme im Netzwerk habe nicht funktioniert oder nicht existiert, folgert Fox-IT.

Die CA-Server seien zwar physisch gut gesichert, aber über das lokale Verwaltungsnetzwerk zugänglich gewesen, in das eingebrochen wurde. Da alle CA-Server zudem Mitglieder der gleichen Windows-Domäne gewesen seien, hätten die Angreifer mit einer Usernamen-Passwort-Kombination auf alle CA-Server von Diginotar zugreifen können. Das Passwort selbst sei nicht sonderlich sicher und leicht per Brute-Force-Angriff auszuhebeln gewesen.

Die auf den öffentlichen Webservern installierte Software sei veraltet gewesen und auch aktuelle Sicherheitsupdates seien nicht eingespielt worden, heißt es in dem Bericht von Fox-IT, den Diginotar veröffentlicht hat.

Zwar habe es ein Intrusion Prevention System auf den Servern gegeben, es habe aber nicht angeschlagen. Warum, sei noch unklar.


eye home zur Startseite
Caprico 06. Sep 2011

Das Ding heißt "Diginotar" und nicht "Diginator", wie im erstem Absatz geschrieben. Edit...


Free Mac Software Blog / 11. Sep 2011

Apple Sicherheitsupdate 2011-005 macht Safari sicherer



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. Amedes Medizinische Dienstleistungen GmbH, Hamburg, Göttingen
  3. LIDL Stiftung & Co. KG, Neckarsulm
  4. Allianz Private Krankenversicherungs-AG, Unterföhring


Anzeige
Spiele-Angebote
  1. Kaufen Sie Quantum Break und ein weiteres Spiel
  2. 169,99€

Folgen Sie uns
       


  1. Tolino Page

    Günstiger Kindle-Konkurrent hat eine bessere Ausstattung

  2. Nexus

    Erste Nougat-Smartphones sollen von HTC kommen

  3. Hafen

    Die Schauerleute von heute sind riesig und automatisch

  4. VATM

    Bundesnetzagentur bringt Preiserhöhung bei VDSL

  5. The Collection

    Bioshock-Spiele werden technisch überarbeitet

  6. Passwort-Cracker

    Hashcat will jetzt auch Veracrypt knacken können

  7. Sparc S7

    Oracle attackiert Intels Xeon mit acht Kernen bei 4,27 GHz

  8. Musikstreaming

    Spotify wirft Apple Behinderung des Wettbewerbs vor

  9. Fireflies

    Günstige Bluetooth-Ohrstecker sollen 100 US-Dollar kosten

  10. Twitch

    "Social Eating" als neuer Kanal



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Geforce GTX 1080/1070 im Test: Zotac kann Geforce besser als Nvidia
Geforce GTX 1080/1070 im Test
Zotac kann Geforce besser als Nvidia
  1. Die Woche im Video Superschnelle Rechner, smarte Zähler und sicherer Spam
  2. Geforce GTX 1080/1070 Asus und MSI schummeln mit Golden Samples
  3. Geforce GTX 1070 Nvidia nennt Spezifikationen der kleinen Pascal-Karte

IT und Energiewende: Fragen und Antworten zu intelligenten Stromzählern
IT und Energiewende
Fragen und Antworten zu intelligenten Stromzählern
  1. Smart Meter Bundestag verordnet allen Haushalten moderne Stromzähler
  2. Intelligente Stromzähler Besitzern von Solaranlagen droht ebenfalls Zwangsanschluss
  3. Smart-Meter-Gateway-Anhörung Stromsparen geht auch anders

Telefonabzocke: Dirty Harry erklärt mein Windows für kaputt
Telefonabzocke
Dirty Harry erklärt mein Windows für kaputt
  1. Darknet-Handel Nutzerdaten von Telekom-Kunden werden verkauft
  2. Security Ransomware-Bosse verdienen 90.000 US-Dollar pro Jahr
  3. Festnahme und Razzien Koordinierte Aktion gegen Cybercrime

  1. Re: Anhaltende Probleme beim Verbindungsaufbau...

    elf | 13:30

  2. Re: Moment mal...

    Trollversteher | 13:30

  3. Re: wahrscheinlich teuer

    blackout23 | 13:29

  4. Re: Jetzt noch mit MicroSD-Slot

    Lala Satalin... | 13:28

  5. Re: Vorgeschmack auf intelligente Stromzähler

    Niaxa | 13:28


  1. 13:29

  2. 12:22

  3. 12:03

  4. 12:01

  5. 11:55

  6. 11:39

  7. 11:35

  8. 10:36


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel