Zertifikate

Grobe Sicherheitsmängel bei Diginotar

Der Einbruch in die Server des niederländischen Zertifikatsanbieters Diginotar hat weitreichendere Folgen als bisher bekannt, meldet die niederländische Regierung. Und ein erstes Zwischengutachten belegt grobe Fehler von Diginotar.

Anzeige

Die niederländische Regierung informiert über das Ausmaß des Einbruchs in die Server von Diginotar, das Tor-Projekt hat nun die ihm zur Verfügung gestellten Informationen veröffentlicht. Demnach haben sich die Angreifer 531 Zertifikate ausgestellt, darunter auch solche für die Websites des US-Geheimdienstes CIA, die von Skype und Wordpress, Facebook, Microsoft, Mozilla, Yahoo und dem Tor-Projekt.

Zwar wurde auch das Zertifikat für Microsofts Website windowsupdate.com gefälscht, über die Microsoft Updates für Windows verteilt, Microsoft weist aber darauf hin, dass die Updates nochmals mit einem zweiten Zertifikat signiert sind, über das Microsoft selbst die Kontrolle hat, so dass es nicht möglich ist, Windows-Nutzern gefälschte Zertifikate unterzuschieben.

Auch die weitreichenden Zertifikate für *.*.com und *.*.org wurden ausgestellt. Diese sollten aber von keinem Browser akzeptiert werden. Auch Zertifikate auf den Namen anderer Zertifikatsanbieter haben sich die Angreifer ausgestellt, darunter "Verisign Root CA" und "Thawte Root CA".

Veraltete Software und unsicheres Netzwerksetup

Diginotar hat derweil einen von Fox-IT erstellten Bericht zu dem Einbruch veröffentlicht. Demnach liegt die Vermutung nahe, dass es den Angreifern vor allem darum ging, Nutzer im Iran auszuforschen.

Zudem kommt Fox-IT zu dem Schluss, dass das Netzwerksetup von Diginotar nicht sicher genug ist, um solche Angriffe abzuwehren: Auf den kritischsten Servern wurde Malware gefunden, die eigentlich von einer Antivirussoftware hätte entdeckt werden können. Doch eine Antivirussoftware wurde auf den Systemen nicht verwendet. Die Trennung dieser kritischen Systeme im Netzwerk habe nicht funktioniert oder nicht existiert, folgert Fox-IT.

Die CA-Server seien zwar physisch gut gesichert, aber über das lokale Verwaltungsnetzwerk zugänglich gewesen, in das eingebrochen wurde. Da alle CA-Server zudem Mitglieder der gleichen Windows-Domäne gewesen seien, hätten die Angreifer mit einer Usernamen-Passwort-Kombination auf alle CA-Server von Diginotar zugreifen können. Das Passwort selbst sei nicht sonderlich sicher und leicht per Brute-Force-Angriff auszuhebeln gewesen.

Die auf den öffentlichen Webservern installierte Software sei veraltet gewesen und auch aktuelle Sicherheitsupdates seien nicht eingespielt worden, heißt es in dem Bericht von Fox-IT, den Diginotar veröffentlicht hat.

Zwar habe es ein Intrusion Prevention System auf den Servern gegeben, es habe aber nicht angeschlagen. Warum, sei noch unklar.

Kommentarübersicht
Tippfehler
Caprico 06. Sep 2011

Das Ding heißt "Diginotar" und nicht "Diginator", wie im erstem Absatz geschrieben. Edit...

Kommentieren

Trackbacks

Free Mac Software Blog / 11. Sep 2011

Apple Sicherheitsupdate 2011-005 macht Safari sicherer

Anzeige
Stellenmarkt
  1. Software-Quality-Assurance-S- pezialist (m/w)
    Continental AG, Frankfurt
  2. Software Development Engineer, Testing Specialist (m/w) Enterprise Search
    Microsoft Deutschland GmbH, Munich
  3. IT-Projektmanager (m/w) Automobil-Handel
    ADP Dealer Services Deutschland GmbH, Stuttgart
  4. SAP-Entwickler/in
    Dataport, Hamburg

 

Detailsuche

Folgen Sie uns
       
Videos
Civilization 5 Brave New World - Trailer (Politik) Civilization 5 Brave New World - Trailer (Politik)
Ticker
  1. Xbox One

    Handel muss Gebrauchtspiele de-registrieren

  2. Lenovo

    "Wir können uns jede Übernahme leisten"

  3. Bundesdatenschützer

    Jobcenter sollen nicht bei Facebook recherchieren

  4. Navigation

    Google Maps erhält Routenplanung per Fahrrad

  5. Test Call of Juarez Gunslinger

    Hör-Spiel im Wilden Westen

  6. Fonic All-Net Flat

    Telefon-, SMS- und Datenflatrate für 25 Euro

  7. Drosselung

    Die Mär vom teuren Traffic oder wie viel kostet ein GByte?

  8. Telekom

    Bundestagspetition gegen Drosselung erreicht 50.000

  9. E-Ink

    Das E-Paper errötet

  10. Security

    WLAN-Suche als Einfallstor bei Android und iOS

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Blackberry
Blackberry Z10 im Langzeittest: Tausche Android gegen Blackberry
Blackberry Z10 im Langzeittest
Tausche Android gegen Blackberry

Mit dem Z10 versucht Blackberry ein Comeback im Smartphone-Markt. Auch Android-Anwendungen lassen sich auf dem Gerät installieren. Golem.de-Autor Tobias Költzsch hat zwei Wochen lang sein Galaxy S3 gegen das Z10 getauscht und im Langzeittest überprüft, wie schwer ein Umstieg ist.

  1. Smartphones Blackberry Q5 im Juli, Blackberry 10.1 wird verteilt
  2. Mobilfunk Fast drei Viertel der Smartphones laufen mit Android
  3. Blackberry-Chef "In fünf Jahren gibt es keine Tablets mehr"
Need for Speed
Need for Speed Rivals: Verfolgungsjagden zwischen Cops und Rasern
Need for Speed Rivals
Verfolgungsjagden zwischen Cops und Rasern

Eine offene Spielumgebung, sehr schnelle Autos und spannende Verfolgungsjagden kündigt EA für Need for Speed Rivals an. Das Rennspiel auf Basis der Frostbite-3-Engine erscheint auch für die Next-Gen-Konsole.

Microsoft Surface
Surface Pro im Test: Microsofts Tablet überzeugt als Notebook
Surface Pro im Test
Microsofts Tablet überzeugt als Notebook

Ein bisschen dicker, ein bisschen schwerer und dafür viel schneller: Das ist Microsofts Surface Pro im Vergleich zum Surface RT. Wir haben das Windows-8-Gerät auf seine Stärken hin untersucht und stellen fest, dass auch Microsoft Probleme mit einem kleinen Full-HD-Display hat.

  1. Microsoft Verkauf des Surface Pro startet am 31. Mai
  2. XPS 10 und Surface Deutliche Preissenkungen bei Windows-RT-Tablets
  3. Neue Firmware Update macht das Surface RT lauter
Forumsbeiträge »
  1. Fonic All-Net Flat Telefon-, SMS- und Datenflatrate für 25 Euro

    Re: Vergleich mit Österreich

    Torwächter | 18:36

  2. Drosselung Die Mär vom teuren Traffic oder wie viel kostet ein GByte?

    Re: Das Telekom-Netz wird bald entlastet, keine...

    Sunabouzu | 18:35

  3. Lenovo "Wir können uns jede Übernahme leisten"

    Re: Microsoft, Google und Apple mit 10% Rabatt im...

    Ripper121 | 18:32

  4. Displayserver Fast alle X.org-Bibliotheken mit Sicherheitslücken

    Re: Kommt drauf an

    nille02 | 18:32

  5. Lenovo "Wir können uns jede Übernahme leisten"

    bin mit Edge rel. zufrieden

    im-Kern-gehts-um | 18:31

Ticker »
  1. Xbox One Handel muss Gebrauchtspiele de-registrieren

    17:34

  2. Lenovo "Wir können uns jede Übernahme leisten"

    16:22

  3. Bundesdatenschützer Jobcenter sollen nicht bei Facebook recherchieren

    14:55

  4. Navigation Google Maps erhält Routenplanung per Fahrrad

    14:37

  5. Test Call of Juarez Gunslinger Hör-Spiel im Wilden Westen

    14:00

  6. Fonic All-Net Flat Telefon-, SMS- und Datenflatrate für 25 Euro

    12:30

  7. Drosselung Die Mär vom teuren Traffic oder wie viel kostet ein GByte?

    12:03

  8. Telekom Bundestagspetition gegen Drosselung erreicht 50.000

    12:02

Zum Artikel